Високоразвита и добре организирана мрежа за компютърен шпионаж беше разкрита от специалистите в Kaspersky Labs. Според руската IT компания, поверителната информация на дипломати, правителства и изследователски центрове от целия свят е била достояние на хакерите в продължение на цели 5 години. Български компютърни системи също са били инфилтрирани от шпионите.
Според Kaspersky, мрежата, която е особено активна в Източна Европа и Централна Азия, е все още активна и продължава да събира документи и данни от компютри, смартфони и преносими носители в 69 страни. Руснаците нарекоха операцията „Червения октомври".
Експертите по информационна сигурност посочиха, че целите на хакерите са били с „висок профил", но не дадоха повече информация отвъд това, че става дума за правителствени агенции, посолства, институции, свързани с ядрената и конвенционалната енергетика, компании в добивния и аерокосмическия сектори. Не се споменава кои са били целите на хакерите у нас.
„Основната цел на операцията изглежда е било събирането на класифицирана информация и данни, полезни на разузнаването в геополитически план, но като цяло обхватът е доста голям", пишат от Kaspersky в доклад, публикуван в началото на седмицата. Те допълват, че не е известно как са използвани данните, събирани в продължение на пет години от стотици машини.
Хакерите, за които се смята, че са рускоговорящи, са създали мащабна инфраструктура с поне 60 командни сървъра. Смята се, че тя е сравнима с тази, използвана за поддръжката на Flame - вирусът-шпионин, който порази голям брой системи в Иран и за който се смята, че е създаден с помощта на западните сили.
Сегашният случай е различен, защото IT експертите не смятат, че става дума за работа на конкретна държава. Костин Раю от Kaspersky изрази съмнение, че шпионската мрежа е по-скоро създадена от киберпрестъпници или лица, които имат намерение впоследствие да продават събраната информация.
Зловредният код е съставен от различни модули и е персонализиран за всяка жертва. За целта целите са имали уникални идентификационни номера, които са закодирани в предназначените за тях зарази. Раю посочи, че до този момент Kaspersky не са били в състояние да извлекат информация от идентификационните номера. Той добави, че вирусите са били компилирани непосредствено, преди да бъдат вградени в специално подбрани „минирани" файлове.
Руските киберексперти не споменават как са разбрали за заразата, но стана ясно, че през октомври те са започнали разследване на опит за фишинг (онлайн измама чрез дубликат на легитимен уебсайт - бел.ред) на техни клиенти. Kaspersky използвали „примамка", имитираща контролния сървър, към който се свързват част от заразените машини. От края на ноември досега, към шестте IP адреса се свързали над 250 компютъра. 18 от тях са в България.
Сложна зараза
В крайна сметка били открити над 1000 различни модула зловреден код. Всеки от тях изпълнява различни задачи - краде пароли, записва всяко натискане на клавиатурата, снима екрана, дава данни за мрежовото оборудване или краде информация от имейл и FTP масиви. В някои случаи даже се възстановяват вече изтритите файлове от USB носител.
Отделен „мобилен" модул засича дали жертвата използва iPhone, Nokia или Windows устройство и краде списъка с контактите, SMS съобщения, записи в календара, бележки и други. Има и механизми, които да гарантират, че заразата ще оцелее, даже и след като бъде засечена от антивирусен софтуер.
Инфекцията има две фази. Тя първо действа като „Троянски кон" и установява връзка с някой от записаните в кода си сървъри, от които след това се свалят модулите, които хакерите ще използват срещу дадената система. На всеки 15 минути се обменят контролни пакети, като няколко дни по-късно вирусът започва да „разузнава" мрежата, към която е включена засегнатата машина. Откраднатите документи първо се компресират и чак след това се изпращат на хакерите.
Връзката с тях е прикрита с три нива от прокси съвръри, за да е максимлано затруднено достигането до „кораба-майка", където се събират откраднатите документи.
Като цяло, повечето от тях са в стандартни формати като .doc, .pdf, .xls, .csv, но и .acid - форматът на френския криптиращ софтуер Acid Cryptofiler, одобрен от ЕС и НАТО.
Kaspersky смятат, че техни сънародници стоят зад шпионската мрежа. Голяма част от командните сървъри са регистрирани с руски имейл адреси, а част от машините и физически се намират на територията на Руската федерация. Освен това, вътре в програмния код на шпионския софтуер са били открити следи от руски жаргонни изрази, а един от модулите автоматично променя символния набор на компютъра на Windows-1251, който е необходим за възпроизвеждане на кирилица. Костин Раю коментира, че това може да е направено с цел да е напълно сигурно, че откраднатите файлове в последствие ще са четими, но, същевременно, е възможно и всичко да е само фалшива следа.
Едно от доказателствата за това е фактът, че хакерите са използвали експлойти в Microsoft Excel и Word, които по-рано са били използвани от Китай срещу тибетски активисти и компании от енергийния сектор в Азия. Самият зловреден код, който инфектира системата, е разработен специално за операция „Червения октомври".
Сървърите на шпионската мрежа са били регистрирани през май 2007 г., но първите модули са били компилирани около 2008 г. Най-новият от тях е бил написан на 8 януари.
