Красная звезда атакует

Эксперты антивирусной компании «Лаборатория Касперского» выявили кибершпионскую сеть, затронувшую более 350 компьютерных систем в 40 странах мира, а результаты наблюдений и выводов опубликовали на своем официальном сайте

Красная звезда атакует

В компании также напомнили, что они вот уже в течение нескольких лет наблюдали за активностью этой шпионской сети. Сеть получила название NetTraveler, так как главным инструментом атакующих была вредоносная программа с одноименным названием, разработанная злоумышленниками специально для скрытного наблюдения за компьютером, а также записи нажатий клавиш, получения списка доступных файлов, автоматического копирования документов MicrosoftOffice и PDF. Эта вредоносная программа известна также как «Travnet» или «Netfile». Наиболее ранние версии этой программы, которые удалось обнаружить экспертам «Лаборатории Касперского», датируются 2005 годом, однако есть сведения, указывающие, что разработка велась еще с 2004 года.

В компании на основе собранных ими данных полагают, что число атакующих насчитывает до 50 человек. «Для большинства из киберпреступников китайский язык является родным, однако они владеют и английским языком - на среднем уровне», - сообщают эксперты «Лаборатории». Это позволяет предположить, что кибератаки осуществляются с территории КНР. Возможно, и поэтому основная иконка программы-конструктора NetTraveler выполнена в виде пятиконечной звезды ярко-красного цвета.

Атаке подверглись государственные и частные структуры, в том числе правительственные учреждения, посольства, научно-исследовательские центры, военные организации, компании нефтегазового сектора, а также тибетские и уйгурские политические активисты.

Наибольшее число жертв, по данным специалистов «Лаборатории Касперского», находятся в Монголии, Индии и в России. В целом - им удалось идентифицировать 40 стран, где находятся жертвы этих атак, Казахстан же расположился на 4 месте по количеству атак. 

В Казахстане в основном атаковали правительственные и военные учреждения, частные компании и посольства. Заражение же компьютеров происходило при помощи фишинговых писем с вредоносными вложениями, использующими уязвимости в Microsoft Office (CVE-2012-0158 и CVE-2010-3333). Компания Microsoft, в свою очередь, уже выпустила обновления для закрытия этих уязвимостей, но они все еще часто используются для таргетированных атак, полагают эксперты. «Названия вложений наглядно демонстрируют целевой характер операций: злоумышленники адаптировали имя документа каждый раз при отправлении его в другую организацию таким образом, чтобы побудить получателя открыть файл», - поясняют схему работы кибершпионов в «Лаборатории Касперского».

Отметим также, что в процессе расследования эксперты «Лаборатории» получили журналы доступа с нескольких командно-контрольных серверов NetTraveler, через которые осуществлялась установка дополнительных зловредов на зараженные машины и загружались украденные данные. По оценкам специалистов, объем похищенных данных на всех серверах NetTraveler составляет более 22 Гб.

Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что 6 жертв операции NetTraveler ранее пострадали от еще одной кампании кибершпионажа - «Красный октябрь», о которой мы писали ранее в статье «Угроза «Октября» (доступной по ссылке – www.expertonline.kz/a338/). И хотя прямых связей между организаторами NetTraveler и «Красного октября» найдено не было, тот факт, что одни и те же пользователи становятся мишенями кибершпионов, свидетельствует о том, что они располагают данными, представляющими особую ценность для злоумышленников.  «Временной интервал между раскрытием той или иной кибершпионской сети с каждым разом становится все меньше. Более того: при детальном изучении, мы видим, что разные кампании рано или поздно пересекаются - либо имеют схожие инструменты атак, либо выбирают одни и тех же жертвы, как в случае с NetTraveler и «Красным октябрем». Все эти факты говорят о том, что кибершпионаж становится все более «массовым» и в дальнейшем будет только набирать обороты», – сетует ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк.

Статьи по теме:
Политика и экономика

Квазизадачка

Квазигосударственный сектор давно пора реформировать, только непонятно как

Казахстан

Обеспечение устойчивого развития энергетики

Краткие итоги министерской конференции и восьмого международного форума

Казахстанский бизнес

Инвестиции без заразы

Неблагоприятная эпизоотическая ситуация может поставить крест на капиталовложениях животноводческих ферм РК

Тема недели

Опасные цифровые связи

В области кибербезопасности уровень подготовки государства, бизнеса и общества не соответствует уровню угроз. Ситуацию должен изменить «Киберщит»