Матушкин Андрей Николаевич
Президент IAPD
Teammitglied
Private Zugriffsebene
Full members of NP "MOD"
Kaspersky Lab hat einen Bericht über eine Studie einer groß angelegten Kampagne veröffentlicht, die von Cyberkriminellen durchgeführt wurde, um diplomatische, staatliche und wissenschaftliche Organisationen in verschiedenen Ländern der Welt auszuspionieren. Die Aktionen der Angreifer zielten darauf ab, vertrauliche Informationen, Daten, die den Zugang zu Computersystemen, persönlichen Mobilgeräten und Unternehmensnetzwerken ermöglichen, zu erhalten sowie geopolitische Informationen zu sammeln. Die Angreifer legten den Schwerpunkt auf die Republiken der ehemaligen UdSSR, die osteuropäischen Länder sowie eine Reihe zentralasiatischer Staaten.
Im Oktober 2012 leiteten Experten von Kaspersky Lab eine Untersuchung einer Reihe von Angriffen auf Computernetzwerke internationaler diplomatischer Missionen ein. Bei der Untersuchung dieser Vorfälle entdeckten Experten ein großes Cyber-Spionagenetzwerk. Basierend auf den Ergebnissen seiner Analyse kamen die Experten von Kaspersky Lab zu dem Schluss, dass die Operation mit dem Codenamen Red October bereits 2007 begann und bis heute andauert.
Das Hauptziel von Cyberkriminellen sind diplomatische und staatliche Strukturen auf der ganzen Welt. Unter den Opfern befinden sich jedoch auch Forschungsinstitute, Unternehmen, die sich mit Energiefragen befassen, darunter Nuklear-, Raumfahrt- und Handelsunternehmen. Die Entwickler von Red October haben ihre eigene Malware entwickelt, die über eine einzigartige modulare Architektur verfügt, die aus böswilligen Erweiterungen und Modulen zum Stehlen von Informationen besteht. In der Antiviren-Datenbank von Kaspersky Lab heißt diese Malware Backdoor.Win32.Sputnik.
Um das Netzwerk infizierter Computer zu kontrollieren, verwendeten Cyberkriminelle mehr als 60 Domainnamen und Server in verschiedenen Ländern der Welt. Gleichzeitig befand sich ein erheblicher Teil von ihnen in Deutschland und Russland. Die Analyse der Verwaltungsserverinfrastruktur durch Experten von Kaspersky Lab ergab, dass die Angreifer eine ganze Kette von Proxyservern verwendeten, um den Standort des Hauptverwaltungsservers zu verbergen.
Kriminelle haben Informationen aus Dateien verschiedener Formate von infizierten Systemen gestohlen. Experten fanden unter anderem Acid * -Dateien, die darauf hinweisen, dass sie zur geheimen Acid Cryptofiler-Software gehören, die von einer Reihe von Organisationen innerhalb der Europäischen Union und der NATO verwendet wird.
Um Systeme zu infizieren, haben Kriminelle Phishing-E-Mails an bestimmte Empfänger in einer bestimmten Organisation gesendet. Der Brief enthielt einen speziellen Trojaner, für dessen Installation die Briefe Exploits enthielten, die Schwachstellen in Microsoft Office ausnutzten. Diese Exploits wurden von Angreifern Dritter erstellt und zuvor bei verschiedenen Cyber-Angriffen eingesetzt, die sowohl auf tibetische Aktivisten als auch auf den Militär- und Energiesektor mehrerer Staaten im asiatischen Raum gerichtet waren.
Um die Opfer von Cyberspionage zu ermitteln, analysierten die Experten von Kaspersky Lab Daten aus zwei Hauptquellen: dem Cloud-Dienst Kaspersky Security Network (KSN) und Sinkhole-Servern zur Überwachung infizierter Computer, die mit Befehlsservern kommunizieren.
Die KSN-Statistiken halfen dabei, mehrere hundert einzigartige infizierte Computer zu identifizieren, von denen die meisten Botschaften, Konsulaten, Regierungsorganisationen und Forschungsinstituten gehörten. Ein erheblicher Teil der infizierten Systeme wurde in Osteuropa nachgewiesen.
Die Daten des Sinkhole-Servers wurden vom 2. November 2012 bis zum 10. Januar 2013 empfangen. Während dieser Zeit wurden mehr als 55.000 Verbindungen von 250 infizierten IP-Adressen in 39 Ländern aufgezeichnet. Die meisten Verbindungen von infizierten IP-Adressen wurden in der Schweiz, in Kasachstan und in Griechenland gemeldet.
Cyberkriminelle haben eine multifunktionale Plattform für Angriffe geschaffen, die Dutzende von Erweiterungen und schädlichen Dateien enthält, die sich schnell an verschiedene Systemkonfigurationen anpassen und vertrauliche Daten von infizierten Computern sammeln können.
Die bemerkenswertesten Merkmale von Malware-Komponenten sind:
Ein Wiederherstellungsmodul, mit dem Kriminelle infizierte Computer „wiederbeleben“ können. Das Modul ist als Plug-In in Adobe Reader und Microsoft Office eingebettet und bietet Angreifern wiederholten Zugriff auf das System, wenn das Hauptschadprogramm erkannt und gelöscht wurde oder wenn ein Systemupdate aufgetreten ist.
Fortgeschrittene kryptografische Spionagemodule zum Stehlen von Informationen, einschließlich verschiedener kryptografischer Systeme, beispielsweise von Acid Cryptofiler, das seit 2011 zum Schutz von Informationen in Organisationen wie der NATO, der Europäischen Union, dem Europäischen Parlament und der Europäischen Kommission verwendet wird.
Möglichkeit der Infektion mobiler Geräte: Zusätzlich zur Infektion herkömmlicher Workstations kann diese Malware Daten von mobilen Geräten, insbesondere Smartphones (iPhone, Nokia und Windows Phone), stehlen. Außerdem können Angreifer Konfigurationsinformationen von industriellen Netzwerkgeräten (Router, Switching-Geräte) und sogar Remote-Dateien von externen USB-Laufwerken stehlen.
Die Registrierungsdaten der Befehlsserver und die in den ausführbaren Dateien der Malware enthaltenen Informationen geben allen Grund zu der Annahme, dass die Cyberkriminellen russischsprachige Wurzeln haben.
Kaspersky Lab untersucht zusammen mit internationalen Organisationen, Strafverfolgungsbehörden und nationalen Computer Emergency Response Teams (CERT) weiterhin den Vorgang und stellt technisches Fachwissen und Ressourcen zur Verfügung, um Maßnahmen zur Behandlung infizierter Systeme zu informieren und durchzuführen.
Weitere Informationen finden Sie auf der Website [DLMURL] https://www.securelist.com/en/ [/ DLMURL]
Im Oktober 2012 leiteten Experten von Kaspersky Lab eine Untersuchung einer Reihe von Angriffen auf Computernetzwerke internationaler diplomatischer Missionen ein. Bei der Untersuchung dieser Vorfälle entdeckten Experten ein großes Cyber-Spionagenetzwerk. Basierend auf den Ergebnissen seiner Analyse kamen die Experten von Kaspersky Lab zu dem Schluss, dass die Operation mit dem Codenamen Red October bereits 2007 begann und bis heute andauert.
Das Hauptziel von Cyberkriminellen sind diplomatische und staatliche Strukturen auf der ganzen Welt. Unter den Opfern befinden sich jedoch auch Forschungsinstitute, Unternehmen, die sich mit Energiefragen befassen, darunter Nuklear-, Raumfahrt- und Handelsunternehmen. Die Entwickler von Red October haben ihre eigene Malware entwickelt, die über eine einzigartige modulare Architektur verfügt, die aus böswilligen Erweiterungen und Modulen zum Stehlen von Informationen besteht. In der Antiviren-Datenbank von Kaspersky Lab heißt diese Malware Backdoor.Win32.Sputnik.
Um das Netzwerk infizierter Computer zu kontrollieren, verwendeten Cyberkriminelle mehr als 60 Domainnamen und Server in verschiedenen Ländern der Welt. Gleichzeitig befand sich ein erheblicher Teil von ihnen in Deutschland und Russland. Die Analyse der Verwaltungsserverinfrastruktur durch Experten von Kaspersky Lab ergab, dass die Angreifer eine ganze Kette von Proxyservern verwendeten, um den Standort des Hauptverwaltungsservers zu verbergen.
Kriminelle haben Informationen aus Dateien verschiedener Formate von infizierten Systemen gestohlen. Experten fanden unter anderem Acid * -Dateien, die darauf hinweisen, dass sie zur geheimen Acid Cryptofiler-Software gehören, die von einer Reihe von Organisationen innerhalb der Europäischen Union und der NATO verwendet wird.
Um Systeme zu infizieren, haben Kriminelle Phishing-E-Mails an bestimmte Empfänger in einer bestimmten Organisation gesendet. Der Brief enthielt einen speziellen Trojaner, für dessen Installation die Briefe Exploits enthielten, die Schwachstellen in Microsoft Office ausnutzten. Diese Exploits wurden von Angreifern Dritter erstellt und zuvor bei verschiedenen Cyber-Angriffen eingesetzt, die sowohl auf tibetische Aktivisten als auch auf den Militär- und Energiesektor mehrerer Staaten im asiatischen Raum gerichtet waren.
Um die Opfer von Cyberspionage zu ermitteln, analysierten die Experten von Kaspersky Lab Daten aus zwei Hauptquellen: dem Cloud-Dienst Kaspersky Security Network (KSN) und Sinkhole-Servern zur Überwachung infizierter Computer, die mit Befehlsservern kommunizieren.
Die KSN-Statistiken halfen dabei, mehrere hundert einzigartige infizierte Computer zu identifizieren, von denen die meisten Botschaften, Konsulaten, Regierungsorganisationen und Forschungsinstituten gehörten. Ein erheblicher Teil der infizierten Systeme wurde in Osteuropa nachgewiesen.
Die Daten des Sinkhole-Servers wurden vom 2. November 2012 bis zum 10. Januar 2013 empfangen. Während dieser Zeit wurden mehr als 55.000 Verbindungen von 250 infizierten IP-Adressen in 39 Ländern aufgezeichnet. Die meisten Verbindungen von infizierten IP-Adressen wurden in der Schweiz, in Kasachstan und in Griechenland gemeldet.
Cyberkriminelle haben eine multifunktionale Plattform für Angriffe geschaffen, die Dutzende von Erweiterungen und schädlichen Dateien enthält, die sich schnell an verschiedene Systemkonfigurationen anpassen und vertrauliche Daten von infizierten Computern sammeln können.
Die bemerkenswertesten Merkmale von Malware-Komponenten sind:
Ein Wiederherstellungsmodul, mit dem Kriminelle infizierte Computer „wiederbeleben“ können. Das Modul ist als Plug-In in Adobe Reader und Microsoft Office eingebettet und bietet Angreifern wiederholten Zugriff auf das System, wenn das Hauptschadprogramm erkannt und gelöscht wurde oder wenn ein Systemupdate aufgetreten ist.
Fortgeschrittene kryptografische Spionagemodule zum Stehlen von Informationen, einschließlich verschiedener kryptografischer Systeme, beispielsweise von Acid Cryptofiler, das seit 2011 zum Schutz von Informationen in Organisationen wie der NATO, der Europäischen Union, dem Europäischen Parlament und der Europäischen Kommission verwendet wird.
Möglichkeit der Infektion mobiler Geräte: Zusätzlich zur Infektion herkömmlicher Workstations kann diese Malware Daten von mobilen Geräten, insbesondere Smartphones (iPhone, Nokia und Windows Phone), stehlen. Außerdem können Angreifer Konfigurationsinformationen von industriellen Netzwerkgeräten (Router, Switching-Geräte) und sogar Remote-Dateien von externen USB-Laufwerken stehlen.
Die Registrierungsdaten der Befehlsserver und die in den ausführbaren Dateien der Malware enthaltenen Informationen geben allen Grund zu der Annahme, dass die Cyberkriminellen russischsprachige Wurzeln haben.
Kaspersky Lab untersucht zusammen mit internationalen Organisationen, Strafverfolgungsbehörden und nationalen Computer Emergency Response Teams (CERT) weiterhin den Vorgang und stellt technisches Fachwissen und Ressourcen zur Verfügung, um Maßnahmen zur Behandlung infizierter Systeme zu informieren und durchzuführen.
Weitere Informationen finden Sie auf der Website [DLMURL] https://www.securelist.com/en/ [/ DLMURL]
Original message
«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.
В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.
Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.
Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.
Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.
Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.
Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.
Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.
К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:
Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.
Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.
«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.
Более подробная информация доступна на сайте [DLMURL]https://www.securelist.com/ru/[/DLMURL]
В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.
Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.
Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.
Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.
Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.
Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.
Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.
К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:
Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.
Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.
«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.
Более подробная информация доступна на сайте [DLMURL]https://www.securelist.com/ru/[/DLMURL]
