С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Вход | Регистрация
19 15 яну 2013, 17:45, 8414 прочитания

Ловът на "Червения октомври"

Шпионски софтуер е следил дипломати, правителства и научни институти през последните пет години в почти цяла Европа, САЩ и Близкия изток

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg


Забравете за Джеймс Бонд и неговите колеги шпиони, ако искате да откраднете някаква важна поверителна информация. В дигиталния океан, наречен интернет, да изпратиш традиционен разузнавач, който трябва да открадне определен масив данни, е все едно да плаваш с кану в открито море по време на буря. Новият арсенал на специалните служби е онлайн базиран и включва специално написани софтуери, които неусетно проникват на компютрите на своите жертви и тайно източват информацията, която се съхранява там.

На подобна система се е натъкнала руската фирма за дигитална сигурност Kaspersky. Става дума за високотехнологична и добре организирана шпионска кибермрежа, която има за цел да събира информация от дипломати, правителствени служби и научни институции. Подобно на модерна ядрена подводница, тя кръстосва дигиталните води от информация през последните пет години, като е действала на територията на 69 държави (виж инфографиката). Засегнати са основно страни от Източна Европа и Централна Азия, но и много компютри в САЩ, Австралия, Ирландия, Швеция, Белгия, Бразилия, Испания, Япония, ОАЕ и др. България също попада в списъка на пострадалите държави.


Според Kaspersky зловредният код е проникнал в компютри на "високопоставени личности", без да уточнява кои точно. Знае се само, че става въпрос за държавни институции, посолства, научни центрове, свързани с разработването на ядрени и енергийни проекти, както и компании от петролната, газовата и авиокосмическата индустрия. Първите промени в кода са от 2007 г., което предполага, че системата е активна от поне пет години.

Руската фирма кръщава новооткритата шпионска мрежа "Червеният октомври". Открива я след подаден анонимен сигнал.

Има ли капитан в подводницата



"Основната цел на цялата операция, изглежда, е да се събира класифицирана информация и геополитическо разузнаване. Въпреки че обхватът на събираните данни е много широк", коментира Kaspersky в своя доклад. Хакерите са използвали голяма и добре развита инфраструктура от поне 60 контролни сървъра, разположени основно в Германия и Русия. Предполага се, че хората, които стоят зад "Червеният октомври", са руснаци. Причината е, че имейлите, с които са регистрирани сървърите, са основно руски домейни, а и в самия код на вирусите се срещат руски думи. Така например присъства думата "закладка", която означава маркер.

Няма данни шпионската кибермрежа да е дело на някоя държава, допълват от Kaspersky. По-скоро е разработена от незвисими хакери, които събират информация с цел продажбата й на разузнавателните служби на заинтересовани правителства, коментира Костин Раю, главен експерт в компанията. Отделно в кода на вируса присъстват специални модули, които могат да разчитат и скранират документи на кирилица - подробност, която не се среща в много софтуери от този тип.

Дотук обаче свършва руската връзка. Много от похватите за хакване са използвани преди от китайски ИТ специалисти в кибератаките срещу тибетски активисти, както и срещу военни и правителствени системи в други азиатски държави. Това обаче не означава автоматично, че Китай стои зад създаването на мрежата, защото само външните компоненти са с подобен произход, смятат от Kaspersky.

Вируси специално за теб

Изграждането на кибермрежата "Червеният октомври" преминава на два етапа, като основно става чрез използването на фалшиви сайтове (т.нар. phishing). Първоначално вирусът създава "заден вход" в системите и така позволява на хакерите да изградят отворен канал за комуникация със сървърите. Мрежата използва malware вируси, които са с модулна конструкция и могат да бъдат модифицирани в зависимост от целта, която трябва да шпионират.

Всеки отделен зловреден софтуер разполага със собствен идентификационен код, който е вграден в основния модул и представлява 20-цифрен номер. Експертите на Kaspersky коментират, че не са успели да извлекат друга полезна информация от този номер и че всеки вирус се е подготвял отделно. За целта се създават модули за всяка  операция – извличане на пароли, история на посещаваните сайтове, кражба на имейли през Outlook или POP/IMAP сървъри, търсене на документи на компютъра или през локалния FTP сървър и др. Един от модулите е специално изготвен да краде документи от USB флаш памети, закачени за заразения компютър, като той има възможността да извлича дори и изтрити файлове. Друг модул пък засича включването на смартфони към РС-то и през тях се опитва да получи достъп до списъка с контакти, кратки съобщения, посещавани сайтове през мобилния телефон и запазени документи.

Интерес за хакерите са представлявали голям спектър от файлове и документи, става ясно от параметрите, открити в някои от модулите. Сред търсените разширения са pdf, xls (Excell), csv и всички документи с acid. Последното е разширение на криптиращата програма Acid Cryptofiler. Тя е разработена от френските военни и активно се използва от НАТО и Европейския съюз. Сред модулите има и специални добавки за пакета Office на Microsoft и Adobe Reader, които помагат на хакерите да заразят повторно машината, ако част от malware вируса случайно бъде засечена. "Дори системата да бъде напълно ъпдейтната, "Червеният октомври" ще продължи да има достъп до машината само с изпращането на едно електронно писмо", коментира Костин Раю.

Преди вирусът да бъде изпратен, хакерите са подбирали необходимите модули за извличане на съответната информация от дадения човек. После зловредният софтуер се слагал в документи примамки, които да бъдат отворени от набелязаната жертва. Самите файлове също са били специално подготвени, така че да отговарят на интересите на целта. Това означава, че мрежата е създадена да извлича много конкретна информация от строго определени личности, заключват от Kaspersky.
Веднъж заразен, компютърът изпраща до командния и контролен сървър сигнал, че функционира, на всеки 15 мин. В сигнала се съдържа уникалният идентификационен номер на жертвата. При нужда хакерите са могли да изпратят и допълнителни модули в зависимост от това какво искат да извлекат от системата. Файловете, които представляват интерес, се компресират и съхраняват в десет папки на заразената машина. Информацията се изпраща до контролните сървъри през определен период от време, зададен също в отделен модул.

По следите на "кораба майка"

Всичките 60 контролни машини са свързани помежду си и разполагат с три нива на прокси сървъри за скриване на дейността. Цялата система за защита е изградена така, че да се скрие къде отива извлечената информация. Зад всичките сървъри стои един голям суперсървър, който играе ролята на своеобразен "кораб майка". Там се изпраща и събира информацията от всички останали. Той обработва автоматично всички данни и ги организира спрямо уникалния идентификационен номер на всяка жертва, предполага Раю. "Предвид факта, че има стотици засегнати компютри, единствената вероятност е да има една голяма автоматизирана инфраструктура, която да следи и подрежда всичко източено от заразените компютри", коментира той.

Екипът на Kaspersky е успял да проникне в шест от 60-те командни сървъра през ноември. От тогава до сега през тези сървъри постъпва информация от поне 250 уникални IP адреса.
  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

05 ноември 2019
София Ивент Център

Конференция The Future of Retail


Ранна регистрация до 31 август

Как ще изглежда ритейл секторът през следващите 5 години и какви са възможностите за нови пазари пред местните търговци?
Водещи лектори от България и чужбина ще представят своите отговори по време на ежегодния форум на Капитал, посветен на ритейл бизнеса.

Още акценти в програмата:


  • Нови технологии и дигитализация
  • Тенденции в ритейл маркетинга
  • Клиентско поведение и преживяване
  • Устойчива и екологична търговия
  • Синергия между физическите и онлайн магазини
  • Иновации в търговските пространства

Конференция The Future of Retail Запазете билет

Прочетете и това

Google обновява снимките от български градове - защо това не е (само) добра новина 10 Google обновява снимките от български градове - защо това не е (само) добра новина

Компанията поставя географски координати на WiFi мрежите и събира информация за местоположението дори при изключена геолокация

18 авг 2019, 8488 прочитания

Дигитални модели Дигитални модели

Кои са новите дигитални иновации от тази седмица

16 авг 2019, 1546 прочитания

24 часа 7 дни

Кариерен клуб: ИКТ »

Кой спечели конкурса за стипендии на ARC Academy

Петимата финалисти ще получат 50% от стипендията за магистърската програма "Реклама и бранд мениджмънт"

"Кариерен кошер" привлича обратно българите с опит и образование от чужбина

Събитието на 4 септември се очаква да събере над 1500 висококвалифицирани кандидати

 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "Технологии и наука" Затваряне
Рапирата на Париж

Конфликтът в Мали ще покаже дали френските военни технологии са ефикасни на бойното поле

Обезлесяването в Бразилия: "Капитан Моторна резачка" срещу Амазонската гора

Бразилският президент Болсонаро отхвърля наложения му прякор, но при неговото управление загубата на дървесна покривка опасно се ускорява

Три заменки в "Младост" не стигат

Столична община предизборно тушира напрежението в квартала, като спаси от застрояване няколко терена. Още 30 подобни случая чакат развръзка

"Агрия груп" купува производител на слънчогледово олио

Базираната в Лясковец "Кехлибар" ще е първата компания за преработка на слънчоглед в портфейла на холдинга

"Съгласие" купи животозастрахователния портфейл на "Дженерали" (коригирана)

Сделката е сключена в началото на декември, след като италианската компания обяви, че в България ще се съсредоточи само върху общото застраховане

Ново място: Bug Coffee

Най-новото попълнение на улица "Асен Златаров" идва на мястото на затворилото врати Percolate

Лаборатория на края на света

Българската база на Антарктида ще има нова сграда