За 5 лет стырили сотни терабайт конфиденциальной инфы.

Вторник, 15 Январь 2013, msgid=05000000F9EB74D2A980279F, mode=0

Вчера в своей первой части отчёта "Лаборатория Касперского" раскрыла детали грандиозной операции кибер-шпионажа. В тоннах информационного мусора, ежедневно производимого профессиональными журнализдами, я нашёл 0 упоминаний названного события. Цитирую текст с сокращениями.

На протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибер-шпионажа, во время которой собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций.

(Операция) … была нацелена на конкретные организации в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки.

Эта операция продолжает оставаться в активной фазе даже сейчас.
Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.

Несколько ключевых фактов, обнаруженных в ходе нашего
расследования:

  • Атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира.
  • Информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях.
  • Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные.
  • Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера.
  • Регистрационные данные серверов управления и различные
    ′артефакты′, оставленные в исполняемых файлах, дают веские основания для предположения, что атакующие — русскоязычные.
  • Эта группа атакующих и используемые ими файлы были неизвестны ранее, и они никак не связаны с какими-либо другими известными нам целевыми атаками. Примечательно, что одна из команд в троянском модуле инсталляции переключает кодовую страницу инфицируемой системы на 1251. Это требуется для того, чтобы иметь возможность обращаться к файлам и каталогам, содержащим кириллические символы.

Атакованные организации относятся к 8 категориям:

  1. Правительственные структуры
  2. Дипломатические ведомства/посольства
  3. Исследовательские институты
  4. Торговые и коммерческие структуры
  5. Ядерные/энергетические исследования
  6. Нефтяные и газовые компании
  7. Аэрокосмическая отрасль
  8. Военные ведомства и компании, связанные с созданием вооружений

За последние месяцы мы обнаружили несколько сотен заражений по всему миру — все жертвы относятся к организациям высокого ранга, таким, например, как правительственные сети и дипломатические структуры. Заражения мы идентифицировали, в основном, в Восточной Европе и странах бывшего СССР, однако есть жертвы в Средней Азии, Северной Америке и в странах Западной Европы, например, в Люксембурге и Швейцарии.

Информация, украденная атакующими, очевидно является крайне конфиденциальной и включает в себя, в частности, различные
геополитические данные, которые могут быть использованы на
государственном уровне. Такая информация может быть выставлена на торги на ′черном рынке′ и продана любому, кто предложит наиболее высокую цену.

Какая информация похищается из зараженных систем? Информация включает в себя документы с расширениями: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa.

В частности, расширение "acid*" принадлежит секретному программному обеспечению для шифрования "Acid Cryptofiler", которое используется в некоторых структурах Евросоюза и NATO.

Основной целью операции, как представляется, является сбор секретной информации и геополитических данных, хотя, по-видимому, информация собирается достаточно разнообразная. За последние пять лет атакующие украли данные у сотен организаций высокого ранга.

Примеры постоянных задач

  • При подключении USB диска найти и извлечь с него файлы по маске/формату, включая удаленные ранее файлы. Удаленные файлы восстанавливаются при помощи специального файлового обработчика.
  • Ожидать подключения мобильного телефона iPhone/Nokia. После подключения собрать информацию об устройстве, скопировать его адресную книгу, список контактов, историю звонков, SMS сообщения, данные календаря, историю браузера
  • Ожидать подключения телефона на базе Windows Mobile. После подключения заразить телефон мобильным вариантом основного компонента бэкдора
  • Запись всех вводимых данных с клавиатуры, снятие скриншотов.
  • Сбор почтовых сообщений и вложенных файлов из Microsoft Outlook, а также их доступных почтовых серверов (используются ранее полученные учетные данные)

Примеры одноразовых задач

  • Сбор общей информации о системе и устройствах окружения.
  • Сбор информации о файловой системе и сетевом окружении,
    составление списка каталогов, поиск и извлечение файлов по маске по команде сервера управления.
  • Сбор информации об установленных программах, особенно об Oracle DB, RAdmin, IM software включая Mail.Ru agent, драйверах и приложениях для Windows Mobile, телефонах Nokia, SonyEricsson, HTC, Android, USB дисках
  • Извлечение истории из браузеров Chrome, Firefox, Internet Explorer, Opera
  • Извлечение сохраненных паролей к Web-сайтам, FTP-серверам, почтовым и IM аккаунтам.
  • Извлечение хешей аккаунтов Windows, вероятно, для их последующего подбора-взлома.
  • Извлечение аккаунтов Outlook.
  • Определение внешнего IP-адреса зараженной системы.

…в ходе операции атакующие умудрились оставаться ′в игре′ больше 5 лет, избегая детектирования со стороны большинства антивирусных решений и, по нашей оценке, похитив к настоящему времени сотни терабайт информации.

…нам удалось ′перехватить′ шесть из более чем 60 доменов, использованных в разных вариантах бэкдора. В ходе мониторинга в период со 2 ноября 2012 по 10 января 2013 года мы зарегистрировали более 55 000 подключений к нашему sinkhole.

С точки зрения географического распространения этих подключений мы установили 39 стран. Наибольшее количество IP-адресов было в Швейцарии. Казахстан и Греция на втором и третьем местах.

1 красный октябрь, синкхол Касперского

securelist

Реклама
%d такие блоггеры, как: