Матушкин Андрей Николаевич
Президент IAPD
Miembro del equipo
Nivel de acceso privado
Full members of NP "MOD"
Kaspersky Lab ha publicado un informe sobre un estudio de una campaña a gran escala realizada por ciberdelincuentes para espiar a organizaciones diplomáticas, gubernamentales y científicas en diferentes países del mundo. Las acciones de los atacantes estaban destinadas a obtener información confidencial, datos que abren el acceso a sistemas informáticos, dispositivos móviles personales y redes corporativas, así como a recopilar información de naturaleza geopolítica. Los atacantes se centraron en las repúblicas de la antigua URSS, los países de Europa del Este y también en varios estados de Asia Central.
En octubre de 2012, los expertos de Kaspersky Lab lanzaron una investigación sobre una serie de ataques a redes informáticas de misiones diplomáticas internacionales. En el proceso de estudiar estos incidentes, los expertos descubrieron una red de espionaje cibernético a gran escala. Sobre la base de los resultados de su análisis, los expertos de Kaspersky Lab concluyeron que la operación, cuyo nombre en código era Red October, comenzó en 2007 y continúa hasta nuestros días.
El objetivo principal de los cibercriminales se ha convertido en estructuras diplomáticas y gubernamentales en todo el mundo. Sin embargo, entre las víctimas también hay institutos de investigación, empresas involucradas en cuestiones energéticas, incluidas las agencias nucleares, espaciales, así como empresas comerciales. Los creadores de Red October han desarrollado su propio malware, que tiene una arquitectura modular única, que consiste en extensiones maliciosas, módulos diseñados para robar información. En la base de datos antivirus de Kaspersky Lab, este malware se llama Backdoor.Win32.Sputnik.
Para controlar la red de máquinas infectadas, los ciberdelincuentes utilizaron más de 60 nombres de dominio y servidores ubicados en diferentes países del mundo. Al mismo tiempo, una parte importante de ellos se encuentra en Alemania y Rusia. Un análisis de la infraestructura del servidor de administración realizado por expertos de Kaspersky Lab mostró que los atacantes utilizaron una cadena completa de servidores proxy para ocultar la ubicación del servidor de administración principal.
Los delincuentes robaron información contenida en archivos de varios formatos de sistemas infectados. Entre otros, los expertos encontraron archivos acid * que indican que pertenecen al software secreto Acid Cryptofiler, que es utilizado por varias organizaciones dentro de la Unión Europea y la OTAN.
Para infectar sistemas, los delincuentes enviaron correos electrónicos de phishing dirigidos a destinatarios específicos de una organización en particular. La carta incluía un troyano especial, para cuya instalación las cartas contenían vulnerabilidades que explotaban vulnerabilidades en Microsoft Office. Estas hazañas fueron creadas por atacantes de terceros y se utilizaron previamente en varios ataques cibernéticos dirigidos tanto a activistas tibetanos como a los sectores militar y energético de varios estados de la región asiática.
Para determinar las víctimas del ciberespionaje, los expertos de Kaspersky Lab analizaron los datos obtenidos de dos fuentes principales: el servicio en la nube Kaspersky Security Network (KSN) y servidores de sumidero diseñados para monitorear máquinas infectadas que se comunican con servidores de comando.
Las estadísticas de KSN ayudaron a identificar varios cientos de computadoras infectadas únicas, la mayoría de las cuales pertenecían a embajadas, consulados, organizaciones gubernamentales e institutos de investigación. Se ha detectado una parte significativa de los sistemas infectados en Europa del Este.
Los datos del servidor de sumidero se recibieron del 2 de noviembre de 2012 al 10 de enero de 2013. Durante este tiempo, se registraron más de 55,000 conexiones de 250 direcciones IP infectadas registradas en 39 países. La mayoría de las conexiones realizadas desde direcciones IP infectadas se informaron en Suiza, Kazajstán y Grecia.
Los cibercriminales han creado una plataforma multifuncional para ataques, que contiene docenas de extensiones y archivos maliciosos que pueden adaptarse rápidamente a diferentes configuraciones del sistema y recopilar datos confidenciales de las computadoras infectadas.
Las características más notables de los componentes de malware son:
Un módulo de recuperación que permite a los delincuentes "resucitar" máquinas infectadas. El módulo está integrado como un complemento en Adobe Reader y Microsoft Office y proporciona a los atacantes acceso repetido al sistema si se detectó y eliminó el programa malicioso principal o si se produjo una actualización del sistema.
Módulos de espionaje criptográficos avanzados diseñados para robar información, incluso de varios sistemas criptográficos, por ejemplo, de Acid Cryptofiler, que se ha utilizado desde 2011 para proteger la información en organizaciones como la OTAN, la Unión Europea, el Parlamento Europeo y la Comisión Europea.
Posibilidad de infección de dispositivos móviles: además de infectar estaciones de trabajo tradicionales, este malware puede robar datos de dispositivos móviles, en particular teléfonos inteligentes (iPhone, Nokia y Windows Phone). Además, los atacantes podrían robar información de configuración de equipos de redes industriales (enrutadores, dispositivos de conmutación) e incluso archivos remotos de unidades USB externas.
Los datos de registro de los servidores de comando y la información contenida en los archivos ejecutables del malware dan todas las razones para suponer que los ciberdelincuentes tienen raíces de habla rusa.
Kaspersky Lab, junto con organizaciones internacionales, organismos encargados de hacer cumplir la ley y equipos nacionales de respuesta ante emergencias informáticas (CERT), continúa investigando la operación, proporcionando conocimientos técnicos y recursos para informar y llevar a cabo medidas para tratar sistemas infectados.
Más información está disponible en el sitio web [DLMURL] https://www.securelist.com/en/ [/ DLMURL]
En octubre de 2012, los expertos de Kaspersky Lab lanzaron una investigación sobre una serie de ataques a redes informáticas de misiones diplomáticas internacionales. En el proceso de estudiar estos incidentes, los expertos descubrieron una red de espionaje cibernético a gran escala. Sobre la base de los resultados de su análisis, los expertos de Kaspersky Lab concluyeron que la operación, cuyo nombre en código era Red October, comenzó en 2007 y continúa hasta nuestros días.
El objetivo principal de los cibercriminales se ha convertido en estructuras diplomáticas y gubernamentales en todo el mundo. Sin embargo, entre las víctimas también hay institutos de investigación, empresas involucradas en cuestiones energéticas, incluidas las agencias nucleares, espaciales, así como empresas comerciales. Los creadores de Red October han desarrollado su propio malware, que tiene una arquitectura modular única, que consiste en extensiones maliciosas, módulos diseñados para robar información. En la base de datos antivirus de Kaspersky Lab, este malware se llama Backdoor.Win32.Sputnik.
Para controlar la red de máquinas infectadas, los ciberdelincuentes utilizaron más de 60 nombres de dominio y servidores ubicados en diferentes países del mundo. Al mismo tiempo, una parte importante de ellos se encuentra en Alemania y Rusia. Un análisis de la infraestructura del servidor de administración realizado por expertos de Kaspersky Lab mostró que los atacantes utilizaron una cadena completa de servidores proxy para ocultar la ubicación del servidor de administración principal.
Los delincuentes robaron información contenida en archivos de varios formatos de sistemas infectados. Entre otros, los expertos encontraron archivos acid * que indican que pertenecen al software secreto Acid Cryptofiler, que es utilizado por varias organizaciones dentro de la Unión Europea y la OTAN.
Para infectar sistemas, los delincuentes enviaron correos electrónicos de phishing dirigidos a destinatarios específicos de una organización en particular. La carta incluía un troyano especial, para cuya instalación las cartas contenían vulnerabilidades que explotaban vulnerabilidades en Microsoft Office. Estas hazañas fueron creadas por atacantes de terceros y se utilizaron previamente en varios ataques cibernéticos dirigidos tanto a activistas tibetanos como a los sectores militar y energético de varios estados de la región asiática.
Para determinar las víctimas del ciberespionaje, los expertos de Kaspersky Lab analizaron los datos obtenidos de dos fuentes principales: el servicio en la nube Kaspersky Security Network (KSN) y servidores de sumidero diseñados para monitorear máquinas infectadas que se comunican con servidores de comando.
Las estadísticas de KSN ayudaron a identificar varios cientos de computadoras infectadas únicas, la mayoría de las cuales pertenecían a embajadas, consulados, organizaciones gubernamentales e institutos de investigación. Se ha detectado una parte significativa de los sistemas infectados en Europa del Este.
Los datos del servidor de sumidero se recibieron del 2 de noviembre de 2012 al 10 de enero de 2013. Durante este tiempo, se registraron más de 55,000 conexiones de 250 direcciones IP infectadas registradas en 39 países. La mayoría de las conexiones realizadas desde direcciones IP infectadas se informaron en Suiza, Kazajstán y Grecia.
Los cibercriminales han creado una plataforma multifuncional para ataques, que contiene docenas de extensiones y archivos maliciosos que pueden adaptarse rápidamente a diferentes configuraciones del sistema y recopilar datos confidenciales de las computadoras infectadas.
Las características más notables de los componentes de malware son:
Un módulo de recuperación que permite a los delincuentes "resucitar" máquinas infectadas. El módulo está integrado como un complemento en Adobe Reader y Microsoft Office y proporciona a los atacantes acceso repetido al sistema si se detectó y eliminó el programa malicioso principal o si se produjo una actualización del sistema.
Módulos de espionaje criptográficos avanzados diseñados para robar información, incluso de varios sistemas criptográficos, por ejemplo, de Acid Cryptofiler, que se ha utilizado desde 2011 para proteger la información en organizaciones como la OTAN, la Unión Europea, el Parlamento Europeo y la Comisión Europea.
Posibilidad de infección de dispositivos móviles: además de infectar estaciones de trabajo tradicionales, este malware puede robar datos de dispositivos móviles, en particular teléfonos inteligentes (iPhone, Nokia y Windows Phone). Además, los atacantes podrían robar información de configuración de equipos de redes industriales (enrutadores, dispositivos de conmutación) e incluso archivos remotos de unidades USB externas.
Los datos de registro de los servidores de comando y la información contenida en los archivos ejecutables del malware dan todas las razones para suponer que los ciberdelincuentes tienen raíces de habla rusa.
Kaspersky Lab, junto con organizaciones internacionales, organismos encargados de hacer cumplir la ley y equipos nacionales de respuesta ante emergencias informáticas (CERT), continúa investigando la operación, proporcionando conocimientos técnicos y recursos para informar y llevar a cabo medidas para tratar sistemas infectados.
Más información está disponible en el sitio web [DLMURL] https://www.securelist.com/en/ [/ DLMURL]
Original message
«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.
В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.
Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.
Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.
Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.
Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.
Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.
Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.
К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:
Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.
Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.
«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.
Более подробная информация доступна на сайте [DLMURL]https://www.securelist.com/ru/[/DLMURL]
В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.
Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.
Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.
Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.
Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.
Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.
Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.
К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:
Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.
Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.
«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.
Более подробная информация доступна на сайте [DLMURL]https://www.securelist.com/ru/[/DLMURL]
