lom Опубликовано 14 января, 2013 Поделиться Опубликовано 14 января, 2013 На протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа, во время которой собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций. Несколько месяцев эксперты 'Лаборатории Касперского' анализировали вредоносные файлы, использованные в атаке, которая была нацелена на конкретные организации в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки. Эта операция, которую мы назвали 'Red October' (в сокращении 'Rocra') продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года. Несколько ключевых фактов, обнаруженных в ходе нашего расследования: Атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира. Информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях. Для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном в Германии и России). Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные. Многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации (детектируются 'Лабораторией Касперсого' как Backdoor.Win32.Sputnik). Система также имеет механизм противодействия закрытию серверов управления и позволяет атакующим восстановить доступ к зараженным системам, используя альтернативные каналы связи. Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудования (Cisco); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети. Мы обнаружили использование как минимум трех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word). В 2010-2011 годах в известных нам атаках использовались эксплойты для MS Excel, с лета 2012 года начались атаки с использованием уязвимости в MS Word. Эксплойты, которые использовались в документах, рассылаемых в ходе целевых фишинговых атак, были созданы другими людьми и изначально использовались в атаках, направленных на тибетских активистов, а также на военные структуры и энергетические компании азиатских стран. Организаторы Red October только заменяли исполняемые файлы в документах на свои. В ходе последовательного распространения в локальной сети жертвы, атакующие внедряли модуль для сканирования сети с целью поиска станций, уязвимых для эксплойта к MS08-067 (уязвимость, использованная червем Conficker) или доступных при помощи администраторского аккаунта и собственной базы паролей. Отдельный модуль использовался для сбора информации для заражения серверов в той же сети. Регистрационные данные серверов управления и различные 'артефакты', оставленные в исполняемых файлах, дают веские основания для предположения, что атакующие - русскоязычные. Эта группа атакующих и используемые ими файлы были неизвестны ранее, и они никак не связаны с какими-либо другими известными нам целевыми атаками. Примечательно, что одна из команд в троянском модуле инсталляции переключает кодовую страницу инфицируемой системы на 1251. Это требуется для того, чтобы иметь возможность обращаться к файлам и каталогам, содержащим кириллические символы. Продолжение здесь Ссылка на комментарий Поделиться на другие сайты Поделиться
Pomka. Опубликовано 15 января, 2013 Поделиться Опубликовано 15 января, 2013 «Касперский»: вирус Red October похищал секретные данные http://news.rambler.ru/17160683/ Ссылка на комментарий Поделиться на другие сайты Поделиться
alexlubiy Опубликовано 15 января, 2013 Поделиться Опубликовано 15 января, 2013 Лаборатория Касперского объявила об обнаружении очередной изощрённой и масштабной сети кибершпионажа. По сложности она напоминает прошлогодний вирус Flame, а может и превосходит его, с учётом того, что каждая атака осуществлялась вручную. Вирус носит название Operation Red October (сокращённо Rocra) и функционирует по меньшей мере уже пять лет, с мая 2007 года. За это время её цели обнаруживаются по меньшей мере в двадцати странах, чаще всего представляя собой правительственных сотрудников, военных, учёных, представителей нефтяной, атомной, аэрокосмической и других ключевых областей промышленности. Среди стран преобладают представители Восточной Европы и Центральной Азии. Кто стоит за созданием это сети, сейчас неизвестно, и установить будет весьма непросто. Главный командный центр операции надёжно укрыт за двумя эшелонами прокси-серверов, располагающихся на территории России, Германии и Австрии. Специалисты полагают, что используемые эксплоиты созданы китайскими программистами, а различные используемые модули являются делом рук русскоговорящих хакеров. Известно, что использовались минимум два эксплоита в программе Microsoft Word и один в Excel, которые заражали компьютеры с применением направленных фишинговых схем. После получения доступа к компьютеру жертву злоумышленники получали доступ и к различной конфиденциальной информации посредством как единовременных, так и долгосрочных атак. Скачанные вредоносные файлы устанавливали на компьютер троян, который осуществлял в сети поиск других устройств с уязвимостями в системе безопасности. Устанавливаемые на компьютер вредоносные модули обычно представляли собой dll-библиотеки, которые после выполнения поставленных перед ними задач искусно скрывали следы своей деятельности. Также использовались и exe-файлы, которые могли никак не проявлять себя до нужного момента, например, подключения к компьютеру мобильного телефона. Известно, что жертвами вируса становились как аппараты на Microsoft Windows Phone, так и на iOS. Среди перечня возможных действий можно назвать получение информации с флеш-дисков, включая удалённые файлы, запись последовательности нажатий клавиш клавиатуры, снятие скриншотов, получение доступа к почтовым сервисам и программе Microsoft Outlook, сбор истории посещённых вед-страниц и введённых паролей в браузерах, сканирование сетей на предмет нахождения новых потенциальных жертв, и другие не слишком законные деяния. Что потом делалось с полученной секретной информацией, также остаётся неизвестным. Лаборатория Касперского оценивает объём украденной за пять лет информации примерно в 5 Тб. источник Сообщение от модератора Mark D. Pearlstone Темы объединены. Ссылка на комментарий Поделиться на другие сайты Поделиться
overman Опубликовано 15 января, 2013 Поделиться Опубликовано 15 января, 2013 не удивлюсь если сейчас еще круче работает шпионская сеть ... а эта уже была брошена Ссылка на комментарий Поделиться на другие сайты Поделиться
Тётя Евдокия Опубликовано 15 января, 2013 Поделиться Опубликовано 15 января, 2013 (изменено) Pomka., ты всё помнишь. А помните, я здесь однажды (больше года назад) спрашивала есть ли такой "червяк"(я толком не разбиралась в вирусах и червях) Красный Октябрь? Надо мной ещё посмеялись за это слово, хотя я его написала для юмора и взяла в кавычки. Но суть не в этом. Как же так? Этот парниша из библиотеки ( он там бывает) знал об этом, а здесь сказали, что нет такого?! P.S. А вдруг он имел отношение к хакерам? И просто проговорился? Изменено 15 января, 2013 пользователем Тётя Евдокия Ссылка на комментарий Поделиться на другие сайты Поделиться
lom Опубликовано 15 января, 2013 Автор Поделиться Опубликовано 15 января, 2013 Pomka., ты всё помнишь.А помните, я здесь однажды (больше года назад) спрашивала есть ли такой "червяк"(я толком не разбиралась в вирусах и червях) Красный Октябрь? Надо мной ещё посмеялись за это слово, хотя я его написала для юмора и взяла в кавычки. Но суть не в этом. Как же так? Этот парниша из библиотеки ( он там бывает) знал об этом, а здесь сказали, что нет такого?! P.S. А вдруг он имел отношение к хакерам? И просто проговорился? А что за тема была, что за паренек? Название вредоносам-то не сами вирусописатели дают, а антивирусные компании. Ссылка на комментарий Поделиться на другие сайты Поделиться
Тётя Евдокия Опубликовано 15 января, 2013 Поделиться Опубликовано 15 января, 2013 А что за тема была, что за паренек? Название вредоносам-то не сами вирусописатели дают, а антивирусные компании. Вот и интересно. Случайно ли это? Попыталась найти через свои сообщения, но почему-то поиск не выдает их. В какой теме не помню. То ли вклинилась в чью-то Где-то, наверное, летом 2011 года., то ли сама создавала. Но в тот период, когда ставила в библиотеке пробную версию КИС. И вот у нас с ним, с парнем на счет вирусов-антивирусов полемика возникла. Вот он и воскликнул: А ты(Вы) знаешь что за вирус Красный Октябрь? Я честно сказала: нет, а сама решила у своих ребят спрошу. Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 15 января, 2013 Поделиться Опубликовано 15 января, 2013 поиск не выдает их http://forum.kasperskyclub.ru/index.php?sh...st&p=166018 Ссылка на комментарий Поделиться на другие сайты Поделиться
Тётя Евдокия Опубликовано 15 января, 2013 Поделиться Опубликовано 15 января, 2013 (изменено) http://forum.kasperskyclub.ru/index.php?sh...st&p=166018 Roman_Five, Как это ты смог?! Научи. Когда я прошу найти все мои сообщения, мне выдается, что в целях предотвращения атак, надо через пять секуд повторить запрос. Но ни через пять, ни через еще пять... всё то же самое. Ого-го, как это было оказывается давно. Изменено 16 января, 2013 пользователем Тётя Евдокия Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 15 января, 2013 Поделиться Опубликовано 15 января, 2013 Как это ты смог?! Научи. http://forum.kasperskyclub.ru/index.php?ac...%F2%FF%E1%F0%E5 Ссылка на комментарий Поделиться на другие сайты Поделиться
Тётя Евдокия Опубликовано 16 января, 2013 Поделиться Опубликовано 16 января, 2013 Да, пробовала я во всех темах, в том числе и в БЕСЕДКЕ, с ключевым словом "Красный Октябрь" найти, но эта тема, моя же, не включилась в найденных. А может на моём компе тож запущен Красный Октябрь? И всё-таки, как же так, вирус обнаружен "вчера", а знали о нем пользователи "позавчера"? Ну не верю что-то я в такую случайность. Или значит не ЛК дала ему название, а сами хакеры. А? Название вредоносам-то не сами вирусописатели дают, а антивирусные компании. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pomka. Опубликовано 17 января, 2013 Поделиться Опубликовано 17 января, 2013 (изменено) Да, пробовала я во всех темах, в том числе и в БЕСЕДКЕ, с ключевым словом "Красный И всё-таки, как же так, вирус обнаружен "вчера", а знали о нем пользователи "позавчера"? Ну не верю что-то я в такую случайность. Или значит не ЛК дала ему название, а сами хакеры. А? зачем политься на всю страну что был обнаружен такой серьезный вирус? скорей всего его изучали... что он тырит и как и кому все сливает... уверен что в ЛК даже смогли внедриться в него и перехватывали трафик того что тырит этот вирус сейчас сидят читают секретные материалы)) после как его разобрали на части и всё выяснили сделали отличный пиар ход на весь мир Изменено 17 января, 2013 пользователем Pomka. Ссылка на комментарий Поделиться на другие сайты Поделиться
DWState Опубликовано 18 января, 2013 Поделиться Опубликовано 18 января, 2013 Хм, но так или иначе ситуация с Евдокией подтверждает, что Красный Октябрь имеет русский след, но как мне кажется это некая международная группа действующая на планете в целом с несколькими офисами и кто же заказчик, а так же думаю что необошлось и без участия крупных брендов. Ссылка на комментарий Поделиться на другие сайты Поделиться
_Strannik_ Опубликовано 19 января, 2013 Поделиться Опубликовано 19 января, 2013 зачем политься на всю страну что был обнаружен такой серьезный вирус?скорей всего его изучали... что он тырит и как и кому все сливает... В принципе, правильно. А скорее всего что так и было. А вот тема из далекого 2009 года вот это интересно, что совпадение? Или все же....?! Ссылка на комментарий Поделиться на другие сайты Поделиться
Тётя Евдокия Опубликовано 19 января, 2013 Поделиться Опубликовано 19 января, 2013 А вот тема из далекого 2009 года вот это интересно, что совпадение? Или все же....?! "...что-то закрадываются сомнения..., как-то так в "Иван Васильевич меняет профессию"? А может задать вопрос Е.К.? Как он прокомментирует такую ситуацию? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти