Когда специалисты по компьютерной безопасности обнаружили сложные и явно созданные при поддержке государства кибершпионские программы Stuxnet и Flame, многие стали задаваться вопросом о том, не попадут ли в скором времени аналогичные программные инструменты, способные вытащить практически любую закрытую информацию даже из самых защищенных систем, в руки организованной преступности.
Между тем ответ, возможно, уже давно смотрел на тех, кто обсуждал это, с мониторов их собственных компьютеров.
В понедельник российская фирма «Лаборатории Касперского», специализирующаяся на интернет-безопасности, сообщила, что она выявила ранее неизвестную широкую кибершпионскую сеть, которую она назвала Red October («Красный октябрь») - в честь романа Тома Клэнси. Судя по всему, эта сеть высасывала секретные данные из компьютеров дипломатических, научных и корпоративных структур по всему миру с 2007 года.
По данным фирмы сеть по-прежнему работает.
Читайте также: Новый вирус, связанный со Stuxnet и Flame
«Деятельность Red October началась не менее пяти лет назад. Все это время атаки оставались незамеченными, - говорит эксперт по вредоносному программному обеспечению из «Лабораторий Касперского» Игорь Суменков. - Поэтому вполне вероятно, что мы обнаружим и другие атаки такого же класса. Мы этого ожидаем».
В отличие от Stuxnet и Flame, которые почти наверняка были кибероружием, использовавшимся Соединенными Штатами и их союзниками против таких противников как Иран, жертвы Red October (сокращенно Rocra) обнаруживаются по всему миру.
«Лаборатории Касперского» сообщают, что они начали свое расследование, получив информацию от неназваного партнера, и уже выявили сотни случаев заражения в разных странах. Каждый раз затронуты были важные структуры – правительственные и дипломатические учреждения, ядерные и аэрокосмические агентства, международные торговые группы.
Большая часть атак – почти 100 – пришлась на долю компьютеров в России и на постсоветском пространстве. Однако, как сообщает компания, «есть данные о случаях заражения в Северной Америке и в странах Западной Европы, - например, в Швейцарии и в Люксембурге».
По словам экспертов, хакеры создавали специальное программное обеспечение для атак на конкретные компьютерные системы, используя «уникальную модульную архитектуру», сочетающую вредоносные расширения, модули для сбора данных и скрытые «трояны». Добытая информация зачастую использовалась для проникновения в другие системы, так как она помогала злоумышленникам отгадывать пароли и обходить барьеры безопасности.
Также по теме: Почему не сумели обнаружить Flame и Stuxnet
Скрытый финальный сервер
Сеть зараженных компьютеров контролировалась обширной инфраструктурой, созданной хакерами. В нее входили более 60 доменных имен и адресов в разных странах, в основном в России и Германии. Как сообщают «Лаборатории Касперского» эта сеть была умело выстроена таким образом, чтобы скрывать местонахождение финального сервера.
Уровень сложности Red October сопоставим с наиболее удачными проектами, созданными при поддержке государства, такими как Stuxnet and Flame, однако вполне вероятно, что сеть была создана представителями криминального мира, считает г-н Суменков.
«Это первая атака, которую по сложности можно сравнить с такими государственными проектами, как Flame», - говорит он.
«Однако это вряд ли государственный проект. Неизвестно, использовали ли организаторы атаки добытые данные сами или продавали ее заинтересованным сторонам.... Речь идет о крайне деликатной информации – конфиденциальных документах, переписке, контактной информации. Судя по характеру некоторых жертв, мишенью также была научная информация», - добавил эксперт.
Отказавшись пока назвать подозреваемых, «Лаборатории Касперского» отметили, что некоторые факторы, в частности, «различные “артефакты”, оставленные в исполняемых файлах, дают веские основания для предположения, что атакующие – русскоязычные».
Читайте также: «Лаборатория Касперского» против супервируса
Компания также предполагает, что к созданию сети могли быть причастны китайские хакеры.
«По-видимому, некорректно говорить , что эта угроза исходит из России», - считает Алексей Лукацкий, российский консультант CISCO.
«Серверы расположены в России и в Германии, но если говорить о хостинге, его может зарегистрировать любая компания или любое частное лицо из любой части мира. В интернете нет границ... То же самое относится к предполагаемому китайскому следу. Единственный контекст, в котором в данном случае можно упоминать китайцев, связан с тем фактом, что используемые для этого типа программ уязвимые места были исходно обнаружены китайскими специалистами», - утверждает г-н Лукацкий.
Это уже второй раз, когда «Лаборатории Касперского» обнаружили глобальную киберугрозу. Подозрительных это может заставить задаться вопросом о том, не следует ли считать данную фирму орудием или даже агентом российской разведки. Когда она в прошлом году разоблачила Flame, это, судя по всему, произошло весьма несвоевременно - с американской точки зрения.
«Мне кажется странным, что это разоблачила частная компания, работавшая по частному заказу, - говорит бывший генерал-майор КГБ Алексей Кондауров. – Где ФАПСИ [бывший российский аналог американского Агентства национальной безопасности], ЦРУ и прочие службы, которые должны заниматься подобными угрозами? Возможно, “Лаборатории Касперского” просто заинтересованы в саморекламе, и поэтому вокруг этого поднялось столько шума?»
