Матушкин Андрей Николаевич
Президент IAPD
Membre du Staff
Niveau d'accès privé
Full members of NP "MOD"
Kaspersky Lab a publié un rapport sur l'étude d'une campagne à grande échelle menée par des cybercriminels pour espionner les organisations diplomatiques, gouvernementales et scientifiques dans différents pays du monde. Les actions des agresseurs visaient à obtenir des informations confidentielles, des données ouvrant l'accès aux systèmes informatiques, aux appareils mobiles personnels et aux réseaux d'entreprise, ainsi qu'à collecter des informations de nature géopolitique. Les assaillants ont principalement mis l'accent sur les républiques de l'ex-URSS, les pays d'Europe de l'Est et également un certain nombre d'États d'Asie centrale.
En octobre 2012, des experts de Kaspersky Lab ont lancé une enquête sur une série d'attaques contre des réseaux informatiques de missions diplomatiques internationales. Au cours de l'étude de ces incidents, les experts ont découvert un réseau de cyberespionnage à grande échelle. Sur la base des résultats de son analyse, les experts de Kaspersky Lab ont conclu que l'opération, baptisée Red October, avait commencé en 2007 et se poursuit à ce jour.
Le principal objectif des cybercriminels est devenu les structures diplomatiques et gouvernementales à travers le monde. Cependant, parmi les victimes, il y a aussi des instituts de recherche, des entreprises impliquées dans les questions énergétiques, notamment le nucléaire, des agences spatiales, ainsi que des entreprises commerciales. Les créateurs de Red October ont développé leur propre malware, qui a une architecture modulaire unique, composée d'extensions malveillantes, de modules conçus pour voler des informations. Dans la base de données antivirus de Kaspersky Lab, ce malware est appelé Backdoor.Win32.Sputnik.
Pour contrôler le réseau des machines infectées, les cybercriminels ont utilisé plus de 60 noms de domaine et serveurs situés dans différents pays du monde. Dans le même temps, une partie importante d'entre eux étaient situés en Allemagne et en Russie. L'analyse de l'infrastructure du serveur de gestion par les experts de Kaspersky Lab a montré que les attaquants utilisaient toute une chaîne de serveurs proxy pour masquer l'emplacement du serveur de gestion principal.
Des criminels ont volé des informations contenues dans des fichiers de différents formats sur des systèmes infectés. Entre autres, les experts ont trouvé des fichiers acid * qui indiquent qu'ils appartiennent au logiciel secret Acid Cryptofiler, qui est utilisé par un certain nombre d'organisations au sein de l'Union européenne et de l'OTAN.
Pour infecter les systèmes, les criminels ont envoyé des e-mails de phishing adressés à des destinataires spécifiques dans une organisation particulière. La lettre comprenait un cheval de Troie spécial, pour l'installation duquel les lettres contenaient des exploits qui exploitaient des vulnérabilités dans Microsoft Office. Ces exploits ont été créés par des attaquants tiers et ont déjà été utilisés dans diverses cyberattaques visant à la fois des militants tibétains et les secteurs militaire et énergétique de plusieurs États de la région asiatique.
Pour déterminer les victimes du cyberespionnage, les experts de Kaspersky Lab ont analysé les données obtenues à partir de deux sources principales: le service cloud Kaspersky Security Network (KSN) et les serveurs goulottes conçus pour surveiller les machines infectées qui communiquent avec les serveurs de commandes.
Les statistiques du KSN ont permis d'identifier plusieurs centaines d'ordinateurs infectés uniques, dont la plupart appartenaient à des ambassades, consulats, organisations gouvernementales et instituts de recherche. Une partie importante des systèmes infectés a été détectée en Europe de l'Est.
Les données du serveur gouffre ont été reçues du 2 novembre 2012 au 10 janvier 2013. Pendant cette période, plus de 55 000 connexions provenant de 250 adresses IP infectées enregistrées dans 39 pays ont été enregistrées. La plupart des connexions établies à partir d'adresses IP infectées ont été signalées en Suisse, au Kazakhstan et en Grèce.
Les cybercriminels ont créé une plate-forme multifonctionnelle pour les attaques, contenant des dizaines d'extensions et de fichiers malveillants qui peuvent s'adapter rapidement à différentes configurations système et collecter des données sensibles à partir d'ordinateurs infectés.
Les caractéristiques les plus remarquables des composants malveillants sont:
Un module de récupération qui permet aux criminels de «ressusciter» des machines infectées. Le module est intégré en tant que plug-in dans Adobe Reader et Microsoft Office et offre aux attaquants un accès répété au système si le programme malveillant principal a été détecté et supprimé ou si une mise à jour du système s'est produite.
Modules d'espionnage cryptographiques avancés conçus pour voler des informations, y compris à partir de divers systèmes cryptographiques, par exemple, d'Acid Cryptofiler, qui est utilisé depuis 2011 pour protéger les informations dans des organisations telles que l'OTAN, l'Union européenne, le Parlement européen et la Commission européenne.
Possibilité d'infection des appareils mobiles: en plus d'infecter les postes de travail traditionnels, ce malware peut voler des données sur les appareils mobiles, en particulier les smartphones (iPhone, Nokia et Windows Phone). De plus, les attaquants pourraient voler des informations de configuration sur des équipements de réseau industriel (routeurs, dispositifs de commutation) et même des fichiers distants sur des lecteurs USB externes.
Les données d'enregistrement des serveurs de commandes et les informations contenues dans les fichiers exécutables du malware donnent toutes les raisons de supposer que les cybercriminels ont des racines russophones.
Kaspersky Lab, en collaboration avec des organisations internationales, des organismes d'application de la loi et des équipes nationales d'intervention en cas d'urgence informatique (CERT), continue d'enquêter sur l'opération, fournissant une expertise technique et des ressources pour informer et mener des mesures pour traiter les systèmes infectés.
Plus d'informations sont disponibles sur le site Web [DLMURL] https://www.securelist.com/en/ [/ DLMURL]
En octobre 2012, des experts de Kaspersky Lab ont lancé une enquête sur une série d'attaques contre des réseaux informatiques de missions diplomatiques internationales. Au cours de l'étude de ces incidents, les experts ont découvert un réseau de cyberespionnage à grande échelle. Sur la base des résultats de son analyse, les experts de Kaspersky Lab ont conclu que l'opération, baptisée Red October, avait commencé en 2007 et se poursuit à ce jour.
Le principal objectif des cybercriminels est devenu les structures diplomatiques et gouvernementales à travers le monde. Cependant, parmi les victimes, il y a aussi des instituts de recherche, des entreprises impliquées dans les questions énergétiques, notamment le nucléaire, des agences spatiales, ainsi que des entreprises commerciales. Les créateurs de Red October ont développé leur propre malware, qui a une architecture modulaire unique, composée d'extensions malveillantes, de modules conçus pour voler des informations. Dans la base de données antivirus de Kaspersky Lab, ce malware est appelé Backdoor.Win32.Sputnik.
Pour contrôler le réseau des machines infectées, les cybercriminels ont utilisé plus de 60 noms de domaine et serveurs situés dans différents pays du monde. Dans le même temps, une partie importante d'entre eux étaient situés en Allemagne et en Russie. L'analyse de l'infrastructure du serveur de gestion par les experts de Kaspersky Lab a montré que les attaquants utilisaient toute une chaîne de serveurs proxy pour masquer l'emplacement du serveur de gestion principal.
Des criminels ont volé des informations contenues dans des fichiers de différents formats sur des systèmes infectés. Entre autres, les experts ont trouvé des fichiers acid * qui indiquent qu'ils appartiennent au logiciel secret Acid Cryptofiler, qui est utilisé par un certain nombre d'organisations au sein de l'Union européenne et de l'OTAN.
Pour infecter les systèmes, les criminels ont envoyé des e-mails de phishing adressés à des destinataires spécifiques dans une organisation particulière. La lettre comprenait un cheval de Troie spécial, pour l'installation duquel les lettres contenaient des exploits qui exploitaient des vulnérabilités dans Microsoft Office. Ces exploits ont été créés par des attaquants tiers et ont déjà été utilisés dans diverses cyberattaques visant à la fois des militants tibétains et les secteurs militaire et énergétique de plusieurs États de la région asiatique.
Pour déterminer les victimes du cyberespionnage, les experts de Kaspersky Lab ont analysé les données obtenues à partir de deux sources principales: le service cloud Kaspersky Security Network (KSN) et les serveurs goulottes conçus pour surveiller les machines infectées qui communiquent avec les serveurs de commandes.
Les statistiques du KSN ont permis d'identifier plusieurs centaines d'ordinateurs infectés uniques, dont la plupart appartenaient à des ambassades, consulats, organisations gouvernementales et instituts de recherche. Une partie importante des systèmes infectés a été détectée en Europe de l'Est.
Les données du serveur gouffre ont été reçues du 2 novembre 2012 au 10 janvier 2013. Pendant cette période, plus de 55 000 connexions provenant de 250 adresses IP infectées enregistrées dans 39 pays ont été enregistrées. La plupart des connexions établies à partir d'adresses IP infectées ont été signalées en Suisse, au Kazakhstan et en Grèce.
Les cybercriminels ont créé une plate-forme multifonctionnelle pour les attaques, contenant des dizaines d'extensions et de fichiers malveillants qui peuvent s'adapter rapidement à différentes configurations système et collecter des données sensibles à partir d'ordinateurs infectés.
Les caractéristiques les plus remarquables des composants malveillants sont:
Un module de récupération qui permet aux criminels de «ressusciter» des machines infectées. Le module est intégré en tant que plug-in dans Adobe Reader et Microsoft Office et offre aux attaquants un accès répété au système si le programme malveillant principal a été détecté et supprimé ou si une mise à jour du système s'est produite.
Modules d'espionnage cryptographiques avancés conçus pour voler des informations, y compris à partir de divers systèmes cryptographiques, par exemple, d'Acid Cryptofiler, qui est utilisé depuis 2011 pour protéger les informations dans des organisations telles que l'OTAN, l'Union européenne, le Parlement européen et la Commission européenne.
Possibilité d'infection des appareils mobiles: en plus d'infecter les postes de travail traditionnels, ce malware peut voler des données sur les appareils mobiles, en particulier les smartphones (iPhone, Nokia et Windows Phone). De plus, les attaquants pourraient voler des informations de configuration sur des équipements de réseau industriel (routeurs, dispositifs de commutation) et même des fichiers distants sur des lecteurs USB externes.
Les données d'enregistrement des serveurs de commandes et les informations contenues dans les fichiers exécutables du malware donnent toutes les raisons de supposer que les cybercriminels ont des racines russophones.
Kaspersky Lab, en collaboration avec des organisations internationales, des organismes d'application de la loi et des équipes nationales d'intervention en cas d'urgence informatique (CERT), continue d'enquêter sur l'opération, fournissant une expertise technique et des ressources pour informer et mener des mesures pour traiter les systèmes infectés.
Plus d'informations sont disponibles sur le site Web [DLMURL] https://www.securelist.com/en/ [/ DLMURL]
Original message
«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.
В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.
Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.
Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.
Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.
Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.
Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.
Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.
К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:
Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.
Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.
«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.
Более подробная информация доступна на сайте [DLMURL]https://www.securelist.com/ru/[/DLMURL]
В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.
Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.
Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.
Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.
Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.
Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.
Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.
К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:
Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.
Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.
«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.
Более подробная информация доступна на сайте [DLMURL]https://www.securelist.com/ru/[/DLMURL]
