Руската фирма кръщава новооткритата шпионска мрежа "Червеният октомври". Открива я след подаден анонимен сигнал.

Има ли капитан в подводницата

"Основната цел на цялата операция, изглежда, е да се събира класифицирана информация и геополитическо разузнаване. Въпреки че обхватът на събираните данни е много широк", коментира Kaspersky в своя доклад. Хакерите са използвали голяма и добре развита инфраструктура от поне 60 контролни сървъра, разположени основно в Германия и Русия. Предполага се, че хората, които стоят зад "Червеният октомври", са руснаци. Причината е, че имейлите, с които са регистрирани сървърите, са основно руски домейни, а и в самия код на вирусите се срещат руски думи. Така например присъства думата "закладка", която означава маркер.

Няма данни шпионската кибермрежа да е дело на някоя държава, допълват от Kaspersky. По-скоро е разработена от незвисими хакери, които събират информация с цел продажбата й на разузнавателните служби на заинтересовани правителства, коментира Костин Раю, главен експерт в компанията. Отделно в кода на вируса присъстват специални модули, които могат да разчитат и скранират документи на кирилица - подробност, която не се среща в много софтуери от този тип.

Дотук обаче свършва руската връзка. Много от похватите за хакване са използвани преди от китайски ИТ специалисти в кибератаките срещу тибетски активисти, както и срещу военни и правителствени системи в други азиатски държави. Това обаче не означава автоматично, че Китай стои зад създаването на мрежата, защото само външните компоненти са с подобен произход, смятат от Kaspersky.

Вируси специално за теб

Изграждането на кибермрежата "Червеният октомври" преминава на два етапа, като основно става чрез използването на фалшиви сайтове (т.нар. phishing). Първоначално вирусът създава "заден вход" в системите и така позволява на хакерите да изградят отворен канал за комуникация със сървърите. Мрежата използва malware вируси, които са с модулна конструкция и могат да бъдат модифицирани в зависимост от целта, която трябва да шпионират.

Всеки отделен зловреден софтуер разполага със собствен идентификационен код, който е вграден в основния модул и представлява 20-цифрен номер. Експертите на Kaspersky коментират, че не са успели да извлекат друга полезна информация от този номер и че всеки вирус се е подготвял отделно. За целта се създават модули за всяка  операция – извличане на пароли, история на посещаваните сайтове, кражба на имейли през Outlook или POP/IMAP сървъри, търсене на документи на компютъра или през локалния FTP сървър и др. Един от модулите е специално изготвен да краде документи от USB флаш памети, закачени за заразения компютър, като той има възможността да извлича дори и изтрити файлове. Друг модул пък засича включването на смартфони към РС-то и през тях се опитва да получи достъп до списъка с контакти, кратки съобщения, посещавани сайтове през мобилния телефон и запазени документи.

Интерес за хакерите са представлявали голям спектър от файлове и документи, става ясно от параметрите, открити в някои от модулите. Сред търсените разширения са pdf, xls (Excell), csv и всички документи с acid. Последното е разширение на криптиращата програма Acid Cryptofiler. Тя е разработена от френските военни и активно се използва от НАТО и Европейския съюз. Сред модулите има и специални добавки за пакета Office на Microsoft и Adobe Reader, които помагат на хакерите да заразят повторно машината, ако част от malware вируса случайно бъде засечена. "Дори системата да бъде напълно ъпдейтната, "Червеният октомври" ще продължи да има достъп до машината само с изпращането на едно електронно писмо", коментира Костин Раю.

Преди вирусът да бъде изпратен, хакерите са подбирали необходимите модули за извличане на съответната информация от дадения човек. После зловредният софтуер се слагал в документи примамки, които да бъдат отворени от набелязаната жертва. Самите файлове също са били специално подготвени, така че да отговарят на интересите на целта. Това означава, че мрежата е създадена да извлича много конкретна информация от строго определени личности, заключват от Kaspersky.

Веднъж заразен, компютърът изпраща до командния и контролен сървър сигнал, че функционира, на всеки 15 мин. В сигнала се съдържа уникалният идентификационен номер на жертвата. При нужда хакерите са могли да изпратят и допълнителни модули в зависимост от това какво искат да извлекат от системата. Файловете, които представляват интерес, се компресират и съхраняват в десет папки на заразената машина. Информацията се изпраща до контролните сървъри през определен период от време, зададен също в отделен модул.

По следите на "кораба майка"

Всичките 60 контролни машини са свързани помежду си и разполагат с три нива на прокси сървъри за скриване на дейността. Цялата система за защита е изградена така, че да се скрие къде отива извлечената информация. Зад всичките сървъри стои един голям суперсървър, който играе ролята на своеобразен "кораб майка". Там се изпраща и събира информацията от всички останали. Той обработва автоматично всички данни и ги организира спрямо уникалния идентификационен номер на всяка жертва, предполага Раю. "Предвид факта, че има стотици засегнати компютри, единствената вероятност е да има една голяма автоматизирана инфраструктура, която да следи и подрежда всичко източено от заразените компютри", коментира той.

Екипът на Kaspersky е успял да проникне в шест от 60-те командни сървъра през ноември. От тогава до сега през тези сървъри постъпва информация от поне 250 уникални IP адреса.

Източник: Kaspersky

Преглед на оригинала