С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
19 15 яну 2013, 17:45, 8544 прочитания

Ловът на "Червения октомври"

Шпионски софтуер е следил дипломати, правителства и научни институти през последните пет години в почти цяла Европа, САЩ и Близкия изток

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg


Забравете за Джеймс Бонд и неговите колеги шпиони, ако искате да откраднете някаква важна поверителна информация. В дигиталния океан, наречен интернет, да изпратиш традиционен разузнавач, който трябва да открадне определен масив данни, е все едно да плаваш с кану в открито море по време на буря. Новият арсенал на специалните служби е онлайн базиран и включва специално написани софтуери, които неусетно проникват на компютрите на своите жертви и тайно източват информацията, която се съхранява там.

На подобна система се е натъкнала руската фирма за дигитална сигурност Kaspersky. Става дума за високотехнологична и добре организирана шпионска кибермрежа, която има за цел да събира информация от дипломати, правителствени служби и научни институции. Подобно на модерна ядрена подводница, тя кръстосва дигиталните води от информация през последните пет години, като е действала на територията на 69 държави (виж инфографиката). Засегнати са основно страни от Източна Европа и Централна Азия, но и много компютри в САЩ, Австралия, Ирландия, Швеция, Белгия, Бразилия, Испания, Япония, ОАЕ и др. България също попада в списъка на пострадалите държави.


Според Kaspersky зловредният код е проникнал в компютри на "високопоставени личности", без да уточнява кои точно. Знае се само, че става въпрос за държавни институции, посолства, научни центрове, свързани с разработването на ядрени и енергийни проекти, както и компании от петролната, газовата и авиокосмическата индустрия. Първите промени в кода са от 2007 г., което предполага, че системата е активна от поне пет години.

Руската фирма кръщава новооткритата шпионска мрежа "Червеният октомври". Открива я след подаден анонимен сигнал.

Има ли капитан в подводницата



"Основната цел на цялата операция, изглежда, е да се събира класифицирана информация и геополитическо разузнаване. Въпреки че обхватът на събираните данни е много широк", коментира Kaspersky в своя доклад. Хакерите са използвали голяма и добре развита инфраструктура от поне 60 контролни сървъра, разположени основно в Германия и Русия. Предполага се, че хората, които стоят зад "Червеният октомври", са руснаци. Причината е, че имейлите, с които са регистрирани сървърите, са основно руски домейни, а и в самия код на вирусите се срещат руски думи. Така например присъства думата "закладка", която означава маркер.

Няма данни шпионската кибермрежа да е дело на някоя държава, допълват от Kaspersky. По-скоро е разработена от незвисими хакери, които събират информация с цел продажбата й на разузнавателните служби на заинтересовани правителства, коментира Костин Раю, главен експерт в компанията. Отделно в кода на вируса присъстват специални модули, които могат да разчитат и скранират документи на кирилица - подробност, която не се среща в много софтуери от този тип.

Дотук обаче свършва руската връзка. Много от похватите за хакване са използвани преди от китайски ИТ специалисти в кибератаките срещу тибетски активисти, както и срещу военни и правителствени системи в други азиатски държави. Това обаче не означава автоматично, че Китай стои зад създаването на мрежата, защото само външните компоненти са с подобен произход, смятат от Kaspersky.

Вируси специално за теб

Изграждането на кибермрежата "Червеният октомври" преминава на два етапа, като основно става чрез използването на фалшиви сайтове (т.нар. phishing). Първоначално вирусът създава "заден вход" в системите и така позволява на хакерите да изградят отворен канал за комуникация със сървърите. Мрежата използва malware вируси, които са с модулна конструкция и могат да бъдат модифицирани в зависимост от целта, която трябва да шпионират.

Всеки отделен зловреден софтуер разполага със собствен идентификационен код, който е вграден в основния модул и представлява 20-цифрен номер. Експертите на Kaspersky коментират, че не са успели да извлекат друга полезна информация от този номер и че всеки вирус се е подготвял отделно. За целта се създават модули за всяка  операция – извличане на пароли, история на посещаваните сайтове, кражба на имейли през Outlook или POP/IMAP сървъри, търсене на документи на компютъра или през локалния FTP сървър и др. Един от модулите е специално изготвен да краде документи от USB флаш памети, закачени за заразения компютър, като той има възможността да извлича дори и изтрити файлове. Друг модул пък засича включването на смартфони към РС-то и през тях се опитва да получи достъп до списъка с контакти, кратки съобщения, посещавани сайтове през мобилния телефон и запазени документи.

Интерес за хакерите са представлявали голям спектър от файлове и документи, става ясно от параметрите, открити в някои от модулите. Сред търсените разширения са pdf, xls (Excell), csv и всички документи с acid. Последното е разширение на криптиращата програма Acid Cryptofiler. Тя е разработена от френските военни и активно се използва от НАТО и Европейския съюз. Сред модулите има и специални добавки за пакета Office на Microsoft и Adobe Reader, които помагат на хакерите да заразят повторно машината, ако част от malware вируса случайно бъде засечена. "Дори системата да бъде напълно ъпдейтната, "Червеният октомври" ще продължи да има достъп до машината само с изпращането на едно електронно писмо", коментира Костин Раю.

Преди вирусът да бъде изпратен, хакерите са подбирали необходимите модули за извличане на съответната информация от дадения човек. После зловредният софтуер се слагал в документи примамки, които да бъдат отворени от набелязаната жертва. Самите файлове също са били специално подготвени, така че да отговарят на интересите на целта. Това означава, че мрежата е създадена да извлича много конкретна информация от строго определени личности, заключват от Kaspersky.
Веднъж заразен, компютърът изпраща до командния и контролен сървър сигнал, че функционира, на всеки 15 мин. В сигнала се съдържа уникалният идентификационен номер на жертвата. При нужда хакерите са могли да изпратят и допълнителни модули в зависимост от това какво искат да извлекат от системата. Файловете, които представляват интерес, се компресират и съхраняват в десет папки на заразената машина. Информацията се изпраща до контролните сървъри през определен период от време, зададен също в отделен модул.

По следите на "кораба майка"

Всичките 60 контролни машини са свързани помежду си и разполагат с три нива на прокси сървъри за скриване на дейността. Цялата система за защита е изградена така, че да се скрие къде отива извлечената информация. Зад всичките сървъри стои един голям суперсървър, който играе ролята на своеобразен "кораб майка". Там се изпраща и събира информацията от всички останали. Той обработва автоматично всички данни и ги организира спрямо уникалния идентификационен номер на всяка жертва, предполага Раю. "Предвид факта, че има стотици засегнати компютри, единствената вероятност е да има една голяма автоматизирана инфраструктура, която да следи и подрежда всичко източено от заразените компютри", коментира той.

Екипът на Kaspersky е успял да проникне в шест от 60-те командни сървъра през ноември. От тогава до сега през тези сървъри постъпва информация от поне 250 уникални IP адреса.
  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

Компаниите могат да кандидатстват за общо 117 млн. лв. за внедряване на иновации Компаниите могат да кандидатстват за общо 117 млн. лв. за внедряване на иновации

Това са едни от последните средства за конкурентоспособност през този програмен период

23 фев 2020, 3657 прочитания

Дигитални модели Дигитални модели

Кои са новите дигитални иновации от тази седмица

21 фев 2020, 1146 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "Технологии" Затваряне
Рапирата на Париж

Конфликтът в Мали ще покаже дали френските военни технологии са ефикасни на бойното поле

Още от Капитал
Фокусът с цените на тока

Защо в България борсовата електроенергия е хем най-скъпа, хем най-евтина

10 мита за еврото

Не, цените няма да се вдигат, курсът на лева няма да се променя и още няколко отговора на най-популярните заблуди за влизането в еврозоната

Шопинг в Ямбол

Двама бизнесмени от региона строят ритейл парк за 12 млн. лв. с финансиране от банка и еврофондове

Коронавирусът приближава към пандемия

Бързата и разумна реакция може да намали щетите от масовото разпространение на заразата

Кино: "Малки жени"

Дързост и покорство във време на пробуждане

Имало едно време в "Червената къща"

Какво се случи в "Червената къща" и какво е бъдещето на сградата с дълга история на "Любен Каравелов" 15

X Остават ви 0 свободни статии
0 / 10