Ловът на "Червения октомври"
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Ловът на "Червения октомври"

Reuters

Ловът на "Червения октомври"

Шпионски софтуер е следил дипломати, правителства и научни институти през последните пет години в почти цяла Европа, САЩ и Близкия изток

Юлиян Арнаудов
8746 прочитания

Reuters

© Jim Urquhart


Забравете за Джеймс Бонд и неговите колеги шпиони, ако искате да откраднете някаква важна поверителна информация. В дигиталния океан, наречен интернет, да изпратиш традиционен разузнавач, който трябва да открадне определен масив данни, е все едно да плаваш с кану в открито море по време на буря. Новият арсенал на специалните служби е онлайн базиран и включва специално написани софтуери, които неусетно проникват на компютрите на своите жертви и тайно източват информацията, която се съхранява там.

На подобна система се е натъкнала руската фирма за дигитална сигурност Kaspersky. Става дума за високотехнологична и добре организирана шпионска кибермрежа, която има за цел да събира информация от дипломати, правителствени служби и научни институции. Подобно на модерна ядрена подводница, тя кръстосва дигиталните води от информация през последните пет години, като е действала на територията на 69 държави (виж инфографиката). Засегнати са основно страни от Източна Европа и Централна Азия, но и много компютри в САЩ, Австралия, Ирландия, Швеция, Белгия, Бразилия, Испания, Япония, ОАЕ и др. България също попада в списъка на пострадалите държави.

Според Kaspersky зловредният код е проникнал в компютри на "високопоставени личности", без да уточнява кои точно. Знае се само, че става въпрос за държавни институции, посолства, научни центрове, свързани с разработването на ядрени и енергийни проекти, както и компании от петролната, газовата и авиокосмическата индустрия. Първите промени в кода са от 2007 г., което предполага, че системата е активна от поне пет години.

Руската фирма кръщава новооткритата шпионска мрежа "Червеният октомври". Открива я след подаден анонимен сигнал.

Има ли капитан в подводницата

"Основната цел на цялата операция, изглежда, е да се събира класифицирана информация и геополитическо разузнаване. Въпреки че обхватът на събираните данни е много широк", коментира Kaspersky в своя доклад. Хакерите са използвали голяма и добре развита инфраструктура от поне 60 контролни сървъра, разположени основно в Германия и Русия. Предполага се, че хората, които стоят зад "Червеният октомври", са руснаци. Причината е, че имейлите, с които са регистрирани сървърите, са основно руски домейни, а и в самия код на вирусите се срещат руски думи. Така например присъства думата "закладка", която означава маркер.

Няма данни шпионската кибермрежа да е дело на някоя държава, допълват от Kaspersky. По-скоро е разработена от незвисими хакери, които събират информация с цел продажбата й на разузнавателните служби на заинтересовани правителства, коментира Костин Раю, главен експерт в компанията. Отделно в кода на вируса присъстват специални модули, които могат да разчитат и скранират документи на кирилица - подробност, която не се среща в много софтуери от този тип.

Дотук обаче свършва руската връзка. Много от похватите за хакване са използвани преди от китайски ИТ специалисти в кибератаките срещу тибетски активисти, както и срещу военни и правителствени системи в други азиатски държави. Това обаче не означава автоматично, че Китай стои зад създаването на мрежата, защото само външните компоненти са с подобен произход, смятат от Kaspersky.

Вируси специално за теб

Изграждането на кибермрежата "Червеният октомври" преминава на два етапа, като основно става чрез използването на фалшиви сайтове (т.нар. phishing). Първоначално вирусът създава "заден вход" в системите и така позволява на хакерите да изградят отворен канал за комуникация със сървърите. Мрежата използва malware вируси, които са с модулна конструкция и могат да бъдат модифицирани в зависимост от целта, която трябва да шпионират.

Всеки отделен зловреден софтуер разполага със собствен идентификационен код, който е вграден в основния модул и представлява 20-цифрен номер. Експертите на Kaspersky коментират, че не са успели да извлекат друга полезна информация от този номер и че всеки вирус се е подготвял отделно. За целта се създават модули за всяка  операция – извличане на пароли, история на посещаваните сайтове, кражба на имейли през Outlook или POP/IMAP сървъри, търсене на документи на компютъра или през локалния FTP сървър и др. Един от модулите е специално изготвен да краде документи от USB флаш памети, закачени за заразения компютър, като той има възможността да извлича дори и изтрити файлове. Друг модул пък засича включването на смартфони към РС-то и през тях се опитва да получи достъп до списъка с контакти, кратки съобщения, посещавани сайтове през мобилния телефон и запазени документи.

Интерес за хакерите са представлявали голям спектър от файлове и документи, става ясно от параметрите, открити в някои от модулите. Сред търсените разширения са pdf, xls (Excell), csv и всички документи с acid. Последното е разширение на криптиращата програма Acid Cryptofiler. Тя е разработена от френските военни и активно се използва от НАТО и Европейския съюз. Сред модулите има и специални добавки за пакета Office на Microsoft и Adobe Reader, които помагат на хакерите да заразят повторно машината, ако част от malware вируса случайно бъде засечена. "Дори системата да бъде напълно ъпдейтната, "Червеният октомври" ще продължи да има достъп до машината само с изпращането на едно електронно писмо", коментира Костин Раю.

Преди вирусът да бъде изпратен, хакерите са подбирали необходимите модули за извличане на съответната информация от дадения човек. После зловредният софтуер се слагал в документи примамки, които да бъдат отворени от набелязаната жертва. Самите файлове също са били специално подготвени, така че да отговарят на интересите на целта. Това означава, че мрежата е създадена да извлича много конкретна информация от строго определени личности, заключват от Kaspersky.

Веднъж заразен, компютърът изпраща до командния и контролен сървър сигнал, че функционира, на всеки 15 мин. В сигнала се съдържа уникалният идентификационен номер на жертвата. При нужда хакерите са могли да изпратят и допълнителни модули в зависимост от това какво искат да извлекат от системата. Файловете, които представляват интерес, се компресират и съхраняват в десет папки на заразената машина. Информацията се изпраща до контролните сървъри през определен период от време, зададен също в отделен модул.

По следите на "кораба майка"

Всичките 60 контролни машини са свързани помежду си и разполагат с три нива на прокси сървъри за скриване на дейността. Цялата система за защита е изградена така, че да се скрие къде отива извлечената информация. Зад всичките сървъри стои един голям суперсървър, който играе ролята на своеобразен "кораб майка". Там се изпраща и събира информацията от всички останали. Той обработва автоматично всички данни и ги организира спрямо уникалния идентификационен номер на всяка жертва, предполага Раю. "Предвид факта, че има стотици засегнати компютри, единствената вероятност е да има една голяма автоматизирана инфраструктура, която да следи и подрежда всичко източено от заразените компютри", коментира той.

Екипът на Kaspersky е успял да проникне в шест от 60-те командни сървъра през ноември. От тогава до сега през тези сървъри постъпва информация от поне 250 уникални IP адреса.

Източник: Kaspersky

Забравете за Джеймс Бонд и неговите колеги шпиони, ако искате да откраднете някаква важна поверителна информация. В дигиталния океан, наречен интернет, да изпратиш традиционен разузнавач, който трябва да открадне определен масив данни, е все едно да плаваш с кану в открито море по време на буря. Новият арсенал на специалните служби е онлайн базиран и включва специално написани софтуери, които неусетно проникват на компютрите на своите жертви и тайно източват информацията, която се съхранява там.

На подобна система се е натъкнала руската фирма за дигитална сигурност Kaspersky. Става дума за високотехнологична и добре организирана шпионска кибермрежа, която има за цел да събира информация от дипломати, правителствени служби и научни институции. Подобно на модерна ядрена подводница, тя кръстосва дигиталните води от информация през последните пет години, като е действала на територията на 69 държави (виж инфографиката). Засегнати са основно страни от Източна Европа и Централна Азия, но и много компютри в САЩ, Австралия, Ирландия, Швеция, Белгия, Бразилия, Испания, Япония, ОАЕ и др. България също попада в списъка на пострадалите държави.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

19 коментара
  • 1
    nye avatar :-P
    nye

    Мине се не мине и през 10 години "откриват" по някакъв такъв вирус. Не се научиха как да се пазят потребителите и туй то. Разчитат на windows и антивирусни програми ... но, като нямат акъл проблемът си е техен.

  • 2
    geoimg avatar :-?
    Geoimg

    Меда и ЖИЛОТО на технологиите!?

  • 3
    borabora54 avatar :-P
    borabora54

    Хе, хе,... хак им е.... Друго си е при нас... Няма компютри, няма програми... Цялата информация е в главата на Вожда и нЕма начин да разберат, какви ги е намислил ...

  • 4
    daskal1 avatar :-|
    daskal1

    Днес Касперски публикува данни че системата описана в статията "Червеният Октомври" и действаща от три-четири години е организирана от Китай.

  • 5
    kardinalat avatar :-P
    kardinalat

    Добре дошли в новата реалност!

  • 6
    tucker_case avatar :-P
    tucker case

    кашперски, макафий... все нещо съмнително има около тез персони... :)

  • 7
    daskal1 avatar :-P
    daskal1

    Съгласен, няма един Ганев та да си отдъхнем.

  • 8
    todortrifonov avatar :-|
    todortrifonov

    Студената война не е свършила, дами и господа

  • 9
    mickmick avatar :-|
    mickmick

    До коментар [#1] от "eswen":

    Ако някой те нарочи, не можеш се опази. Колкото и да си мислиш за недосегаем ;)

  • 10
    nye avatar :-P
    nye

    До коментар [#9] от "mick":
    Лично мене няма причина да ми проникват в компютъра. Това което ме възмущава е, че потребителите си мислят, че натискаш копчето и всичко от само себе си ще става. Като искаш да караш кола, нали ходиш на курсове ... или дори още по-тривиалното нахлузване на презерватива, за да се предпазиш от СПИН. Няма причина да се подхожда различно и с интернет - първата работа на всеки е да се научи сам да се пази и чак тогава е всичко останало.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK