«Лаборатория Касперского» вычислила сеть хакеров, 10 лет кравших данные пользователей
рус   |   eng
Найти
Вход   Регистрация
Помощь |  RSS |  Подписка
Новости региона
Читальный зал
    Мировые новости Наша деятельность Комментарии и анализ
      Мониторинг ксенофобии Контакты
        Наиболее важные новости

          Читальный зал

          «Лаборатория Касперского» вычислила сеть хакеров, 10 лет кравших данные пользователей

          Кадр из мультфильма «Шпионские страсти»

          «Лаборатория Касперского» вычислила сеть хакеров, 10 лет кравших данные пользователей

          17.06.2013

          Вечером 4 июня «Лаборатория Касперского» рассказала об обнаружении крупной кибершпионской сети, которая крала данные с компьютеров в разных уголках планеты. Как утверждают специалисты, сеть действовала несколько лет, а жертвами хакеров стали правительства, диппредставительства, военные и другие организации. За атакой, по-видимому, вновь стоят китайцы.
          Как оказалось, ничего принципиально нового или инновационного в найденной шпионской сети нет. Главной в ней была и остается вредоносная программа, которую в ЛК назвали NetTraveler. Свое имя она получила, как это и водится, из-за того, что в теле программы было обнаружено сообщение «NetTravelerisRunning» («NetTraveler запущен»). NetTraveler умеет внедряться в компьютеры жертв, находить на них офисные документы и отправлять их на командный сервер. Кроме того, хакеры научили свой вирус отслеживать, какие клавиши на клавиатуре нажимает пользователь – это позволяет, в частности, узнать, какие пароли и сообщения он вводит в браузере.
          Интереснее то, каким образом вирус попадал на компьютеры жертв. Злоумышленники рассылали электронные письма с прикрепленным документом. ЛК известно как минимум о двух уязвимостях в Microsoft Word, которые использовались для несанкционированного запуска кода. Для обеих Microsoft уже давно выпустила «заплатки», но множество компьютеров все еще остаются уязвимыми.
          Примечательно, что обе эти уязвимости в прошлом уже упоминались в связи с хакерскими атаками. Так, Microsoft сообщала, что «дырка» с кодовым названием CVE-2010-3333 использовалась в декабре 2010 года при рассылке «новогодних» поздравлений на русском языке. Два года спустя стало известно, что вторую уязвимость, CVE-2012-0158, использовали то ли китайские, то ли корейские хакеры против российских компаний (что интересно, в этом случае сообщения тоже рассылались на русском языке, а рассказывалось в прикрепленных документах о региональном форуме АСЕАН).
          В случае с NetTraveler хакеры не ограничились простым использованием уязвимости. Они меняли текст писем и названия документов, содержащих вирусы, чтобы жертвы наверняка «клюнули» на уловку. Так, специалисты нашли документ на монгольском языке, а также файлы с названиями вроде «His Holiness the Dalai Lama’s visit to Switzerland Day 3.doc» (дословно – «Визит Его святейшества Далай-ламы в Швейцарию, день 3»; встречались также «день 1», «день 2» и «день 4»). Последний, например, был использован для заражения компьютеров тибетских и уйгурских активистов, которые, как известно, находятся в оппозиции к китайским властям.
          Благодаря такой «гибкости» хакерам удалось заразить компьютеры в 350 организациях, расположенных в 40 странах мира. Причем ЛК смогла получить доступ только к части серверов, управлявших вирусом. Всего, полагают специалисты, речь может идти примерно о тысяче жертв, причем это цели «высокого профиля»: пострадали в первую очередь посольства, а также государственные и военные учреждения. В сумме на них приходится 60 процентов от общего числа обнаруженных жертв. Хакеров интересовали также научные институты, занимающиеся лазерной и ядерной физикой, нанотехнологиями и исследованиями в аэрокосмической сфере. В ЛК отмечают, что научные учреждения чаще становились целями злоумышленников «в последнее время».
          Список стран, где было зафиксировано больше всего жертв, довольно необычен: если наличие России и Индии на второй и третьей строчках соответственно еще можно объяснить потенциалом этих стран, то что на первом месте делает Монголия, совершенно неясно. Трудно вспомнить вообще о каких-либо компьютерных инцидентах, связанных с этим государством. С другой стороны, США не попали даже в десятку (в отличие от Китая и Таджикистана, к примеру). При этом хакеры пользовались VPN-серверами, расположенными в США, чтобы скачивать украденные документы с управляющих серверов. Такой подход позволяет замаскировать настоящее местонахождение злоумышленника.
          Если вспомнить кибершпионские скандалы последних лет (хотя бы недавнюю историю о серии атак на американские СМИ), то чаще всего хакеры, действующие из Китая, нацелены именно на США. В этом же случае набор мишеней разительно отличается от стандартного, но именно на представителей КНР как на создателей шпионской сети указывают специалисты ЛК. Они нашли в вирусе китайские слова, а также выяснили, что для большинства злоумышленников китайский язык является родным, хотя некоторые говорят еще и на английском. Всего в группировке насчитали около 50 человек, что наводит на мысль о ее «профессиональном» происхождении. Впрочем, ЛК не делает никаких намеков на какое-либо участие в деятельности хакеров со стороны государства.
          Не раскрывают специалисты и конкретных жертв NetTraveler, упоминая только, что среди них – военный подрядчик из России, а также посольства неназванных стран в Бельгии, Иране, Казахстане и Белоруссии. В этих же учреждениях раньше был обнаружен вирус Red October («Красный октябрь»), о существовании которого, естественно, сообщила «Лаборатория Касперского». Впрочем, в докладе подчеркивается, что нет никаких доказательств того, что к этим двум шпионским сетям причастны одни и те же люди. Более того, если вспомнить описание Red October, то в нем были прозрачные намеки на российское или околороссийское происхождение вируса – в его исходниках нашли слова «PROGA» и «zakladka».
          В случае с NetTraveler неясно даже, диппредставительства каких государств были атакованы хакерами. Было бы интересно узнать, к примеру, не идет ли речь о посольствах одной и той же страны. Зато в ЛК рассказали, что на обнаруженных командных серверах хранилось около 22 гигабайт документов – довольно много, если учесть, что размер среднего файла в формате .doc или .pdf измеряется в мегабайтах. У Red October счет вообще шел на терабайты, но специалисты подчеркивают, что хакеры, создавшие NetTraveler, наверняка украли больше информации – просто другие данные они уже скачали и стерли с управляющих серверов.
          В «Лаборатории Касперского» исследовали сразу несколько разных версий зловредного кода. Большинство из них были созданы между 2010 и 2013 годами, хотя некоторые датированы еще 2005-м. Разработка вируса, подчеркивают специалисты, началась еще в 2004 году. По состоянию на май 2013-го по крайней мере один из командных серверов шпионской сети продолжал работать. А значит, продолжал красть информацию с чьих-то компьютеров.
          Впрочем, остается неясным, почему вирус, появившийся почти десять лет назад и заражавший компьютеры серьезных компаний и учреждений, до сих пор не был найден и почему уже второй раз за полгода «разоблачает» шпионские сети именно ЛК. Некоторые пользователи «Хабрахабра», например, отнеслись к заявлениям специалистов с изрядной долей скепсиса. Они предположили, что для рядовых пользователей или экспертов история с NetTraveler – довольно проходная, а значит, в «Лаборатории Касперского» решили «окучивать чиновников», припугнув их шпионами и предложив свою надежную защиту.
          Но, в конце концов, нельзя исключать и того, что в ЛК попросту решили похвалиться и напомнить о себе, рассказав об очередных успехах в борьбе со страшными шпионами, которых никто, кроме них, никогда бы не нашел (не нашли же конкуренты за почти десять лет активности вируса). По крайней мере у простых пользователей, по-видимому, останется в памяти только это. Ну а сотрудникам крупных компаний лучше проверить, не проник ли NetTraveler и к ним. К счастью, в докладе ЛК даны подробные инструкции.
          Султан Сулейманов


          lenta.ru

          Наверх

           
          ЕК: Всплеск антисемитизма напоминает самые мрачные времена
          05.11.2023, Антисемитизм
          Президент Герцог призвал людей всего мира зажечь свечу в память об убитых и павших
          05.11.2023, Израиль
          Израиль объявил Северный Кавказ зоной максимальной угрозы и призвал граждан немедленно покинуть регион.
          01.11.2023, Мир и Израиль
          Генассамблея ООН призвала Израиль к прекращению огня в Газе - результаты голосования
          29.10.2023, Международные организации
          Опубликованы уточненные данные по иностранным гражданам, убитым или пропавшим без вести в результате атаки ХАМАСа
          18.10.2023, Израиль
          Исторический визит Байдена в Израиль
          18.10.2023, Мир и Израиль
          Посол Украины в Израиле и украинские дипломаты сдали кровь для бойцов ЦАХАЛа и раненых
          12.10.2023, Мир и Израиль
          Шестой день войны в Израиле
          12.10.2023, Израиль
          МИД Украины опубликовал данные о погибших и раненых гражданах в результате нападения террористов ХАМАСа в Израиле
          11.10.2023, Мир и Израиль
          Десятки иностранцев убиты или похищены боевиками ХАМАС
          09.10.2023, Израиль
          Все новости rss