Специалисты «Лаборатории Касперского» обнаружили ранее неизвестное мощное кибероружие, воровавшее, как удалось выяснить, огромные объемы данных у дипломатических и других ведомств в республиках бывшего СССР, а также в странах Восточной Европы и Центральной Азии еще с 2007 года.
ЖЕРТВАМИ RED OCTOBER СТАЛИ почти триста систем во многих странах, в том числе в Северной Америке и Западной Европе, но в основном — в Восточной Европе и бывших советских республиках. Только в России было зарегистрировано 35 заражений |
Российская компания в последние два года стала известна своими разоблачениями орудий кибервойны, и похоже, что «Красный Октябрь» стал очередным успехом «Лаборатории» в этом отношении.
Выбор названия («Охота за Красным Октябрем» — так назывался вышедший в 1984 году, во времена правления Рональда Рейгана, роман Тома Клэнси о советской подводной лодке) становится понятным, если прочитать отчет об исследовании, опубликованный «Лабораторией».
Во-первых, Red October является модульным (общее число его компонентов — 30) и весьма сложным по архитектуре (1000 файлов со 115 датами создания, охватывающими период в два года с небольшим). Кроме того, он ориентирован на многие операционные среды (несколько мобильных платформ, помимо ПК) и имеет управляющую сеть, которая охватывала 60 доменов. Все это явно указывает на то, что Red October скорее киберорудие, а не просто криминальное.
Будучи небольшим по численности пораженных им жертв, Red October избегал обнаружения по крайней мере с 2007 года, причем ему не просто повезло — код системы не был позаимствован из «коммерческих» вредоносных программ, иначе бы антивирусы уже давно его обнаружили.
О целях «Красного Октября», пожалуй, лучше всего можно судить по информации, которую он пытался красть: это обширный список типов файлов, в том числе файлы системы шифрования Acid Cryptofilter которая по сведениям «Лаборатории», «применяется в некоторых структурах НАТО и Евросоюза» лишь с недавнего времени. Когда вирусу удавалось похитить верительные данные, он их использовал для последующих атак.
Жертвами Red October стали почти триста систем во многих странах, в том числе в Северной Америке и Западной Европе, но в основном — в Восточной Европе и бывших советских республиках. Только в России было зарегистрировано 35 заражений.
В коде вируса есть кое-какие признаки спешки. Например, для одной из уязвимостей операторы Red October воспользовались кодом известного эксплойта китайского происхождения, тем самым пойдя на риск раскрытия. Это явно не в стиле разведчиков старой школы.
Что касается свидетельств сложности вируса помимо его обширной инфраструктуры Red October использовал довольно необычные методы, например,режим восстановления контроля: вирус ожидает открытия специально подготовленного документа Office или PDF и выполняет содержащиеся в нем команды. Этот механизм односторонней связи предусмотрен на случай отключения управляющих серверов, полагают в «Лаборатории».
Кто же может стоять за Red October и с какими намерениями?
В «Лаборатории» делают ряд намеков, начиная с названия вируса в базе данных компании — Backdoor.Win32.Sputnik и его прозвища. Эксперты компании также пишут, что, судя по многочисленным свидетельствам, оставленным в файлах, есть основания предполагать, что создатели вируса — русскоязычные специалисты. Таким образом, круг подозреваемых сужается. Кто бы ни был автором вредоносной системы, он рассчитывал долгосрочно следить за правительственными и военными ведомствами в странах, когда-то бывших союзниками России, а также за их новыми друзьями во всем мире.
Судя по Red October, можно оценить масштаб разведывательной деятельности в киберпространстве. «Это уже напоминает шпионские страсти времен холодной войны, — полагает Джарно Лимнелл из финской компании по информационной безопасности Stonesoft. — Перед нами сложнейший вирус, который незамеченным преодолел системы безопасности и затем тайно работал, отправляя своим операторам всевозможные собранные сведения. Киберпространство уже стало новой зоной боевых действий, и правительствам, негосударственным организациям, коммерческим компаниям пора понять, что атаки вроде Red October — это уже фактически норма. Что касается кибершпионажа — им занимаются все. Просто кому-то это удается лучше, кому-то — хуже».