Операция (Rocra): кшпионская сеть в Европе - Operation Red October (Rocra): a cyberespionage network in the Eastern Europe

Экспериментальный центр «Лаборатории Касперского» сообразно наводке «анонимного партнёра, который был заказчиком исследования», разоблачил еще одну кибероперацию мирового масштаба. На этот раз стиль идёт о козни Red October — широкой козни кибершпионажа супротив дипломатических и муниципальных структур, НИИ, индустриальных компаний и боевых ведомств различных государств, в большей степени, на местности Рф и государств СНГ, желая жертвы видятся практически сообразно всему миру.


   Как сообщается, штурм была нацелена на конкретные организации в Восточной Европе, странах былого Русского Союза и Центральной Азии, а еще Западной Европы и Северной Америки. Безызвестные злодеи нападали конкретные цели сообразно одной, ставя личный вариант вредной програмки Backdoor. Win32. Sputnik фактически вручную. Шпионская активность длится с 2007 года, а дата компиляции самого бодрого файла — 8 января 2013 года, то имеется операцию разрешено полагать функциональной по реального момента. «Лаборатория Касперского» составила перечень государств с большим численностью зарегистрированных случаев инфецирования(в таблицу включены страны с численностью заражений не наименее 5). Все инфецирования относятся к организациям высочайшего ранга, таковым, к примеру, как правительственные козни и дипломатические структуры.
Страна Количество заражений
Россия 38
Казахстан 21
Азербайджан 15
Бельгия 15
Индия 14
Афганистан 10
Армения 10
Иран 7
Туркменистан 7
Украина 6
США 6
Вьетнам 6
Беларусь 5
Греция 5
Италия 5
Марокко 5
Пакистан 5
Швейцария 5
Уганда 5
Объединённые Арабские Эмираты 5

Некоторое количество основных выводов, какие «Лаборатория Касперского» делает сообразно результатам подготовительного разбора атаки. Нападающие были функциональны на протяжении крайних 5 лет, фокусируясь на дипломатических и муниципальных ведомствах в различных странах решетка. Информация, собранная из заражённых сетей, использовалась в следующих атаках. К примеру, украденные учётные данные были собраны в особый перечень и применялось, когда нападающим требовалось выбрать логины и пароли в остальных сетях. Инфраструктура серверов управления представляет собой цепочку прокси-серверов и прячет положение настоящего финального сервера, в каком месте намереваются данные. Функциональная перрон дозволяет скоро использовать новейшие расширенные модули для сбора инфы(детектируются «Лабораторией Касперского» как Backdoor. Win32. Sputnik). Система еще владеет устройство противодействия закрытию серверов управления и дозволяет нападающим вернуть доступ к заражённым системам, применяя другие каналы связи. Кроме обычных целей атак(рабочие станции)система способна воровать данные с мобильных устройств, таковых как телефоны(iPhone, Nokia, Windows Mobile); составлять информацию с сетевого оснащения(Cisco); исполнять сбор файлов с USB-дисков(подключая раньше удалённые файлы, для что употребляет свою технологию возобновления файлов); воровать почтовые базы данных из локального хранилища Outlook либо с удаленного POP/IMAP сервера, а еще получать файлы с локальных FTP-серверов в козни. Найдено внедрение как минимум трёх разных эксплойтов к уже популярным уязвимостям: CVE-2009-3129(MS Excel), CVE-2010-3333(MS Word)и CVE-2012-0158(MS Word). В 2010-2011 годах в узнаваемых нам атаках применялось эксплойты для MS Excel, с лета 2012 года начались атаки с внедрением уязвимости в MS Word. Эксплойты, какие применялось в документах, рассылаемых в ходе целевых фишинговых атак, были сделаны иными людьми. Приблизительно, китайскими взломщиками. Они вначале применялось в атаках, направленных на тибетских активистов, а еще на боевые структуры и энерго фирмы азиатских государств. Организаторы Red October лишь подменяли выполняемые файлы в документах на свои. В ходе поочередного распространения в локальной козни жертвы, нападающие помещали часть для сканирования козни с целью розыска станций, уязвимых для эксплойта к MS08-067(небезукоризненность, примененная червяком Conficker)либо доступных при поддержке администраторского аккаунта и своей базы паролей. Единичный часть употреблялся для сбора инфы для инфецирования серверов в той же козни. Регистрационные данные серверов управления и разные «артефакты», оставленные в выполняемых файлах, предоставляют значительные основания для догадки, что нападающие — русскоязычные. Данная группа нападающих и применяемые ими файлы были неопознаны раньше, и они никоим образом не соединены с какими-либо иными популярными целевыми атаками. Примечательно, что одна из команд в троянском модуле установки переключает кодовую страничку инфицируемой системы на 1251. Это требуется для такого, чтоб обладать вероятность обходиться к файлам и каталогам, содержащим кириллические знаки. Для контроля и получения данных жертв злодеи употребляли наиболее 60 доменных имен на нескольких 10-ках IP-адресов, расположенных в главном в Германии и Рф.

The research centre «Kaspersky's Laboratory» on наводке «the anonymous partner which was the customer of research», has exposed one more cyberoperation of a world scale. This time it is a question of network Red October — an extensive network of cyberespionage against diplomatic and state structures, scientific research institute, the industrial companies and military departments of the different countries, mainly, in territory of Russia and the CIS countries though a victim meet literally worldwide. As it is informed, attack has been aimed at the concrete organisations in the Eastern Europe, the countries of the former Soviet Union and the Central Asia, and also the Western Europe and the North America. Unknown malefactors attacked specific goals on one, installing an individual variant of harmful program Backdoor. Win32.Sputnik practically manually. Espionage activity proceeds since 2007, and date of compilation of the freshest file — on January, 8th, 2013, that is operation it is possible to consider active until now. «Kaspersky's laboratory» has made the list of the countries with the greatest quantity of the registered cases of infection (the countries are included in the table with quantity of infections not less than five). All infections concern the high rank organisations, such, for example, as the governmental networks and diplomatic structures.

The country Number of infections
Russia 38
Kazakhstan 21
Azerbaijan 15
Belgium 15
India 14
Afghanistan 10
Armenia 10
Iran 7
Turkmenistan 7
Ukraine 6
THE USA 6
Vietnam 6
Belarus 5
Greece 5
Italy 5
Morocco 5
Pakistan 5
Switzerland 5
Uganda 5
The United Arab Emirates 5

Some the main conclusions by which «Kaspersky's Laboratory» does by results of the preliminary analysis of attack. The attacking were active throughout last five years, being focused on diplomatic and state departments in the different countries of the world. The information collected from infected networks, was used in the subsequent attacks. For example, the stolen registration data has been collected in the special list and used, when attacking it was required to pick up logins and passwords in other networks. The infrastructure of servers of management represents a chain of proxies-servers and hides a site of the real final server where the data gathers. The multipurpose platform allows to apply quickly the new expanded modules to information gathering (are detected «Kaspersky's Laboratory» as Backdoor. Win32.Sputnik). The system also has the mechanism of counteraction to closing of servers of management and allows attacking to restore access to the infected systems, using alternative communication channels. Besides the traditional purposes of attacks (workstations) the system is capable to steal the data from mobile devices, such as smart phones (iPhone, Nokia, Windows Mobile); to collect the information from the network equipment (Cisco); to carry out gathering of files from USB-disks (including earlier remote files for what uses own technology of restoration of files); to steal post databases from local storehouse Outlook or with removed POP/IMAP servers, and also to take files from local FTP-servers in a network. Use at least three various эксплойтов to already known уязвимостям is revealed: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word). In 2010-2011 in attacks known to us were used эксплойты for MS Excel, since summer of 2012 attacks with vulnerability use in MS Word have begun. Эксплойты which were used in the documents dispatched during target фишинговых of attacks, have been created by other people. Presumably, the Chinese hackers. They were initially used in the attacks directed on the Tibetan active workers, and also to military structures and the power companies of the Asian countries. Organizers Red October only replaced executed files in documents with the. During consecutive distribution to a local network of the victim, attacking introduced the module for scanning of a network for the purpose of search of stations, vulnerable for эксплойта to MS08-067 (the vulnerability used by worm Conficker) or accessible at help администраторского of an account and own base of passwords. The separate module was used for gathering of the information for infection of servers in the same network. Registration data of servers of management and the various "artefacts" left in executed files, give strong reasons for the assumption that attacking — Russian-speaking. This group attacking and files used by them were unknown earlier, and they are not connected in any way with any other known target attacks. It is remarkable that one of commands in the Trojan module of installation switches code page of infected system on 1251. It is required to have possibility to address to files and the catalogues containing Cyrillic symbols. For control and data acquisition of victims malefactors used more than 60 domain names on the several tens IP-addresses located in basic in Germany and Russia.