ЛК: Red October – сложная двухэтапная кибератака

Лаборатория Касперского представила отчет о масштабной кампании по кибершпионажу - Red October, которая осуществлялась злоумышленниками на протяжении последних пяти лет. Основными целями мошенников были дипломатические и правительственные ведомства, а также научные организации.

Эксперты анализировали анатомию атаки, график работы злоумышленников, географическое распределение жертв, информацию, полученную мошенниками методом sinkhole, а также работу C&C-серверов.

Для проведения подробного исследования было создано несколько подставных жертв по всему миру, что позволило наблюдать за работой модулей и инструментов, которые использовались в проведении кампании. Начало атаки сопровождалось отправкой фишинг-писем на адреса электронной почты потенциальных жертв. Сообщения содержали вложения в виде Excel- или Word-документа. После открытия документа вредоносные программы, содержащиеся в письме, осуществляли поиск уязвимостей на компьютере, впоследствии на системе запускались различные модули атаки.

Запуск модулей знаменовал начало второго этапа атаки, в рамках которого вредоносные программы удаляют все свои следы с атакованного компьютера для того, чтобы не быть обнаруженными.

Основными задачами организаторов кампании Red October было заражение подключаемых к инфицированному компьютеру USB-носителей информации, а также хищение информации, которая на них хранится. Помимо этого, вредоносные программы также заражали смартфоны iPhone или Nokia, которые подключались к компьютеру жертвы. В частности, мошенники похищали данные о телефоне, список контактов, историю вызовов, SMS-сообщения, а также историю посещения web-страниц. Вредонос фиксировал нажатие клавиш на зараженном компьютере и делал скриншоты, а также воровал сообщения электронной почты и вложения, которые содержались в сообщениях, отправленных посредством Microsoft Outlook.

Организаторы Red October собирали огромное количество информации о компьютерах, которые становились ботами. Мошенники получали доступ к общим данным о программном обеспечении и аппаратных средствах ПК, а также к информации файловой системы и сетевых ресурсов. Прежде всего, злоумышленников интересовала информация об установленном ПО таких производителей, как Oracle DB, RAdmin, IM Windows Mobile, Nokia, SonyEricsson, HTC и пр.

Помимо всего прочего, мошенники имели доступ к истории посещения web-страниц посредством браузеров Chrome, Firefox, Internet Explorer и Opera. Жертвы даже не подозревали о том, что все пароли для web-сайтов, FTP-серверов, учетных записей почтовых и IM-служб были доступны для организаторов Red October. 

Эксперты «Лаборатории Касперского» отмечают, что это первый случай, когда им удалось так подробно проанализировать масштабную кампанию кибершпионажа.