Kaspersky Lab has published a report on a study of a large-scale campaign conducted by cybercriminals to spy on diplomatic, government and scientific organizations in different countries of the world. The actions of the attackers were aimed at obtaining confidential information, data that open access to computer systems, personal mobile devices and corporate networks, as well as collecting information of a geopolitical nature. The attackers made the main emphasis on the republics of the former USSR, the countries of Eastern Europe, and also a number of states in Central Asia.
In October 2012, Kaspersky Lab experts launched an investigation into a series of attacks on computer networks of international diplomatic missions. In the process of studying these incidents, experts discovered a large-scale cyber spy network. Based on the results of its analysis, Kaspersky Lab experts concluded that the operation, codenamed Red October, began back in 2007 and continues to this day.
The main goal of cybercriminals has become diplomatic and government structures around the world. However, among the victims there are also research institutes, companies involved in energy issues, including nuclear, space agencies, as well as trading enterprises. The creators of Red October have developed their own malware, which has a unique modular architecture, consisting of malicious extensions, modules designed to steal information. In the antivirus database of Kaspersky Lab, this malware is called Backdoor.Win32.Sputnik.
To control the network of infected machines, cybercriminals used more than 60 domain names and servers located in different countries of the world. At the same time, a significant part of them were located in Germany and Russia. Analysis of the management server infrastructure by Kaspersky Lab experts showed that the attackers used a whole chain of proxy servers to hide the location of the main management server.
Criminals stole information contained in files of various formats from infected systems. Among others, experts found acid * files that indicate they belong to the secret Acid Cryptofiler software, which is used by a number of organizations within the European Union and NATO.
To infect systems, criminals sent phishing emails addressed to specific recipients in a particular organization. The letter included a special Trojan, for the installation of which the letters contained exploits that exploited vulnerabilities in Microsoft Office. These exploits were created by third-party attackers and were previously used in various cyber attacks aimed at both Tibetan activists and the military and energy sectors of several states in the Asian region.
To determine the victims of cyber espionage, Kaspersky Lab experts analyzed data obtained from two main sources: the cloud service Kaspersky Security Network (KSN) and sinkhole servers designed to monitor infected machines that communicate with command servers.
KSN statistics helped to identify several hundred unique infected computers, most of which belonged to embassies, consulates, government organizations and research institutes. A significant part of the infected systems was detected in Eastern Europe.
The sinkhole server data was received from November 2, 2012 to January 10, 2013. During this time, more than 55,000 connections from 250 infected IP addresses registered in 39 countries were recorded. Most connections made from infected IP addresses were reported in Switzerland, Kazakhstan, and Greece.
Cybercriminals created a multi-functional platform for attacks, containing dozens of extensions and malicious files that can quickly adapt to different system configurations and collect sensitive data from infected computers.
The most noteworthy characteristics of malware components are:
A recovery module that allows criminals to “resurrect” infected machines. The module is embedded as a plug-in in Adobe Reader and Microsoft Office and provides attackers with repeated access to the system if the main malicious program was detected and deleted or if a system update occurred.
Advanced cryptographic spy modules designed to steal information, including from various cryptographic systems, for example, from Acid Cryptofiler, which has been used since 2011 to protect information in organizations such as NATO, the European Union, the European Parliament and the European Commission.
Possibility of infection of mobile devices: In addition to infecting traditional workstations, this malware can steal data from mobile devices, in particular smartphones (iPhone, Nokia and Windows Phone). Also, attackers could steal configuration information from industrial network equipment (routers, switching devices) and even remote files from external USB drives.
The registration data of the command servers and the information contained in the executable files of the malware give every reason to assume that the cybercriminals have Russian-speaking roots.
Kaspersky Lab, together with international organizations, law enforcement agencies and national Computer Emergency Response Teams (CERT), continues to investigate the operation, providing technical expertise and resources to inform and conduct measures to treat infected systems.
More information is available on the website [DLMURL] https://www.securelist.com/en/ [/ DLMURL]
In October 2012, Kaspersky Lab experts launched an investigation into a series of attacks on computer networks of international diplomatic missions. In the process of studying these incidents, experts discovered a large-scale cyber spy network. Based on the results of its analysis, Kaspersky Lab experts concluded that the operation, codenamed Red October, began back in 2007 and continues to this day.
The main goal of cybercriminals has become diplomatic and government structures around the world. However, among the victims there are also research institutes, companies involved in energy issues, including nuclear, space agencies, as well as trading enterprises. The creators of Red October have developed their own malware, which has a unique modular architecture, consisting of malicious extensions, modules designed to steal information. In the antivirus database of Kaspersky Lab, this malware is called Backdoor.Win32.Sputnik.
To control the network of infected machines, cybercriminals used more than 60 domain names and servers located in different countries of the world. At the same time, a significant part of them were located in Germany and Russia. Analysis of the management server infrastructure by Kaspersky Lab experts showed that the attackers used a whole chain of proxy servers to hide the location of the main management server.
Criminals stole information contained in files of various formats from infected systems. Among others, experts found acid * files that indicate they belong to the secret Acid Cryptofiler software, which is used by a number of organizations within the European Union and NATO.
To infect systems, criminals sent phishing emails addressed to specific recipients in a particular organization. The letter included a special Trojan, for the installation of which the letters contained exploits that exploited vulnerabilities in Microsoft Office. These exploits were created by third-party attackers and were previously used in various cyber attacks aimed at both Tibetan activists and the military and energy sectors of several states in the Asian region.
To determine the victims of cyber espionage, Kaspersky Lab experts analyzed data obtained from two main sources: the cloud service Kaspersky Security Network (KSN) and sinkhole servers designed to monitor infected machines that communicate with command servers.
KSN statistics helped to identify several hundred unique infected computers, most of which belonged to embassies, consulates, government organizations and research institutes. A significant part of the infected systems was detected in Eastern Europe.
The sinkhole server data was received from November 2, 2012 to January 10, 2013. During this time, more than 55,000 connections from 250 infected IP addresses registered in 39 countries were recorded. Most connections made from infected IP addresses were reported in Switzerland, Kazakhstan, and Greece.
Cybercriminals created a multi-functional platform for attacks, containing dozens of extensions and malicious files that can quickly adapt to different system configurations and collect sensitive data from infected computers.
The most noteworthy characteristics of malware components are:
A recovery module that allows criminals to “resurrect” infected machines. The module is embedded as a plug-in in Adobe Reader and Microsoft Office and provides attackers with repeated access to the system if the main malicious program was detected and deleted or if a system update occurred.
Advanced cryptographic spy modules designed to steal information, including from various cryptographic systems, for example, from Acid Cryptofiler, which has been used since 2011 to protect information in organizations such as NATO, the European Union, the European Parliament and the European Commission.
Possibility of infection of mobile devices: In addition to infecting traditional workstations, this malware can steal data from mobile devices, in particular smartphones (iPhone, Nokia and Windows Phone). Also, attackers could steal configuration information from industrial network equipment (routers, switching devices) and even remote files from external USB drives.
The registration data of the command servers and the information contained in the executable files of the malware give every reason to assume that the cybercriminals have Russian-speaking roots.
Kaspersky Lab, together with international organizations, law enforcement agencies and national Computer Emergency Response Teams (CERT), continues to investigate the operation, providing technical expertise and resources to inform and conduct measures to treat infected systems.
More information is available on the website [DLMURL] https://www.securelist.com/en/ [/ DLMURL]
Original message
«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.
В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.
Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.
Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.
Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.
Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.
Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.
Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.
К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:
Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.
Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.
«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.
Более подробная информация доступна на сайте [DLMURL]https://www.securelist.com/ru/[/DLMURL]
В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.
Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.
Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.
Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.
Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.
Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.
Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.
К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:
Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.
Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.
«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.
Более подробная информация доступна на сайте [DLMURL]https://www.securelist.com/ru/[/DLMURL]
