Записи с меткой «IP-адрес»

«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные различных странах мира. При этом значительная их часть была расположена на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.

Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.

Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.

  • Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
  • Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.

К наиболее примечательным характеристикам модулей можно отнести:

  • Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
  • Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
  • Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

    «Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.

    Более подробная информация доступна на сайте www.securelist.com/ru/analysis.

ИСТОЧНИК

 

Реклама

«Лаборатория Касперского» объявляет о результатах
исследования инфраструктуры командных серверов вредоносной программы
Flame, которая, по мнению экспертов, в настоящее время активно
применяется в качестве кибероружия в ряде ближневосточных государств.
Анализ вредоносной программы, показал, что на момент обнаружения Flame
использовалась для осуществления кибершпионажа, а конфиденциальные
данные, украденные с зараженных компьютеров, пересылались на один из
командных серверов.

Совместно с компаниями GoDaddy и OpenDNS эксперты «Лаборатории
Касперского» смогли перехватить управление большинством
вредоносных доменов, используемых командными серверами Flame. В
результате детального анализа полученной таким образом информации,
эксперты пришли к следующим выводам:
* Командные серверы Flame,
действовавшие в течение нескольких лет, были отключены сразу же после
того, как на прошлой неделе «Лаборатория Касперского»
раскрыла существование вредоносной программы.
* На данный момент
известно более 80 доменов, задействовавшихся для передачи данных на
командные серверы Flame, которые были зарегистрированы в период с 2008
по 2012 гг.
* За последние 4 года командные серверы Flame попеременно
располагались в различных странах мира, включая Гонконг, Турцию,
Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
* Для
регистрации доменов командных серверов Flame использовались фальшивые
регистрационные данные и различные компании-регистраторы, причем данная
активность началась еще в 2008 году.
* Злоумышленников, использующих
Flame для кражи информации, особенно интересовали офисные документы,
файлы PDF и чертежи AutoCAD.
* Данные, загружаемые на командные
серверы Flame, шифровались с использованием относительно простых
алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с
открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.

* По предварительным данным, 64-разрядная версия операционной системы
Windows 7, которая ранее уже была рекомендована «Лабораторией
Касперского» как одна из самых безопасных, оказалась не подвержена
заражению Flame.

«Лаборатория Касперского» выражает благодарность Уильяму
МакАртуру (William MacArthur), отделу по борьбе с сетевыми
злоупотреблениями регистратора доменных имен GoDaddy, а также группе
OpenDNS Security Research за оперативный отклик и неоценимую помощь в
проведении расследования.

На прошлой неделе «Лаборатория Касперского» связалась с
центрами реагирования на компьютерные угрозы (CERT) во многих странах и
предоставила им сведения о доменах, используемых командными серверами
Flame, и IP-адресах вредоносных серверов. Руководство «Лаборатории
Касперского» выражает благодарность всем тем, кто принимал участие
в расследовании.

Если вы представляете правительственный CERT и хотите получить больше
информации о серверах Flame, пожалуйста, обращайтесь на адрес
theflame@kaspersky.com.

Полный анализ инфраструктуры командных серверов Flame и технические
детали исследования размещены на сайте http://www.securelist.com/ru/blog.