მინდა შემოგთავაზოთ “კასპერსკის ლაბორატორიის” კვლევითი ცენტრის ექსპერტის ანგარიშის თარგმანი სადაც მოთხრობილია დიდი კებერშპიონაჟის ქსელის შესახებ, რომელიც რამდენიმე წელია ფუნქციონირებს და იპარავს ინფორმაციას როგორც კომერციული ასევე დიპლომატიური და სამთავრობო კომპიუტერული სისტემებიდან. ანგარიშის პირველი ნაწილი და არ შეიცავს დეტალურ ტექნიკურ ინფორმაციას ამიტომაც არის ინციდენტის ზოგადი განხილვა.

ბოლო ხუთი წლის განმავლობაში, უამრავი ქვეყნის დიპლომატიური უწყებების, სახელმწიფო სტრუქტურების და სამეცნიერო-კვლევითი ორგანიზაციების მიმართ ხორციელდება კიბერშპიონაჟის ოპერაცია, რომლიც აგროვებს არასაიდუმლო და საიდუმლო ინფორმაციას ორგანიზაციების მობილური მოწყობილობებიდან, კომპიუტერებიდან და ქსელური მოწყობილობებიდან.

“კასპერსკის ლაბორატორიის” ექსპერტები თვეების განმავლობაში ანალიზს უტარებდნენ ვირუსულ ფაილებს, რომელიც გამოიყენებოდა შეტევისას და გამიზნული იყო კონკრეტულ ორგანიზაციებზე აღმოსავლეთ ევროპაში, ყოფილი საბჭოთა კავშირის ქვეყნებსა და ცენტრალურ აზიაში, ასევე დასავლეთ ევროპასა და ჩრდილოეთ ამერიკაში.

ამ ოპერაციას ჩვენ დავარქვით “წითელი ოქტომბერი” (Red October) შემოკლებით Rocra და ის ახლაც მოქმედების აქტიურ ფაზაშია: მოპარული ინფორმაცია იგზავნება მმართველ სერვერებზე და ქსელის კონფიგურაცია თავისი სირთულით ტოლს არ უდებს Flame-ის ინფრასტრუქტურას. სარეგისტრაციო ინფორმაცია, რომელიც C&C (სამართავი სერვერების) დომენების ყიდვისას დაფიქსირდა და ასევე ფაილების შქმნის თარიღები მეტყველებს იმაზე, რომ შეტევები უკვე 2007 წლის მაისში ხორციელდებოდა.

ჩვენი გამოძიების რამდენიმე საკვანძო ფაქტი

FAQ

რა არის Red October

Red October – ეს არის გამიზნული შეტევების სერია, რომელიც გრძელდებოდა მინიმუმ უკანასკნელი 5 წლის განმავლობაში. ამ ოპერაციის მსვლელობისას მთელს მსოფლიოში ასობით მსხვერპლს შეუტიეს. დაზარალებული ორგანიზაციები განეკუთვნებიან შემდეგ 8 კატეგორიას:

  1. სახელმწიფო სტრუქტურები
  2. დიპლომატიური უწყებები/საელჩოები
  3. კვლევითი ინსტიტუტები
  4. სავაჭრო და კომერციული სტრუქტურები
  5. ბირთვული/ენერგეტიკული კველევები
  6. ნავთობისა და გაზის კომპანიები
  7. აეროკოსმოსური სექტორი
  8. სამხედრო უყებები და კომპანიები რომლებიც უკავშირდება იარაღის წარმოებას

სრულიად შესაძლებელია, რომ არსებობს სამიზნე-ორგანიზაციების სხვა კატეგორიებიც, რომელთა გამოვლენათ ჩვენ ჯერ-ჯერობით ვერ შევძელით ან წარსულში განხორციელდა.

როდის და როგორ იქნა ეს ოპერაცია აღმოჩენილი?

ჩვენ ამ შეტევის შესწავლა 2012 წელს ერთ-ერთი ჩვენი პარტნიორის თხოვნით. შეტევის ანალიზის პროცესში, წერილებში და პროგრამულ მოდულებში ჩვენთვის ნათელი გახდა კამპანიის რეალური ზომა და გადავწყვიტეთ დაგვეწყო სრულმასშტაბიანი გამოძიება.

ვინ მოგაწოდათ ვირუსული მოდულები?

ჩვენ ის ჩვენი პარტნიორისგან მივიღეთ, რომელიც იყო კვლევის შემკვეთი და მას ანონიმურად დარჩენა ურჩევნია.

რამდენი დავირუსებული სისტემა აღმოაჩინა კასპერსკის ლაბორატორიამ? რამდენი სხვერპლი შეიძლება ამას მოყვეს? რამხელაა Red October-ის მასშტაბი გლობალური თვალსაზრისით?

ბოლო თვეების განმავლობაში ჩვენ აღმოვაჩინეთ რამდენიმე ასეული სისტემა მთელს მსოფლიოში – ყველა მსხვერპლი მაღალი რანგის ორგანიზაციებს განეკუთვნება, როგორიცაა მაგალითად სამთავრობა ქსელები და დიპლომატიური სტრუქტურები. სისტემა უმთავრესად აღმოვაჩინეთ აღმოსავლეთ ევროპაში და ყოფილი საბჭოთა კავშირის ქვეყნებში. თუმცა არის მსხვერპლი შუა აზიაში, ჩრდილოეთ ამერიკასა და დასავლეთ ევროპის ქვეყნებში მაგ. ლუქსემბურგში და შვეიცარიაში.

Kapersky Security Network (KSN)-ის მონაცემებზე დაყრდნობით ჩევნ შევადგინეთ ქვეყნების სია სადაც ყველაზე მეტად გავრცელდა Backdoor.Win32.Sputnik (სიაშია ქვეყნები 5-ზე მეტი მსხვერპლით)

ქვეყანა

მსხვერპლი

რუსეთი 38
ყაზახეთი 21
აზერბაიჯანი 15
ბელგია 15
ინდოეთი 14
ავღანეთი 10
სასომხეთი 10
ირანი 7
თურქმენეთი 7
უკრაინა 6
ა.შ.შ. 6
ვიეტნამი 6
ბელორუსია 5
საბერძნეთი 5
იტალია 5
მაროკო 5
პაკისტანი 5
შვეიცარია 5
უგანდა 5
არაბეთი გაერთიანებული საამიროები 5

ყვეით არის sinkhole ტექნოლოგიის საშუალებით შეგროვებული სტატისტიკა

ვინ დგას ამ შეტევის უკან? არის ეს შეტევები რომელიმე სახელმწიოფს მხარდაჭერით განხორციელებული?

ინფორმაცია, რომელსაც ჩვენ ვფლობთ არ გვაძლევს საშუალებას პირდაპირ დავადგინოთ შეტევის ზუსტი წყარო, თუმცა ჩვენთვის ნათელია ორი მნიშვნელოვანი ფაქტი:

ამ ეტაპზე ჩვენ არ გვაქვს ფაქტები, რომლებიც პირდაპირ მიუთითებს რომელიმე სახელმწიფოზე. ინფორმაცია რომელიც შემტევებმა მოიპარეს სრულიად საიდუმლოა და შეიცავს გარკვეულ გეოპოლიტიკურ მონაცემებს, რომლებიც სახემწიფო დონეზე შეიძლება იქნეს გამოყენებული. ასეთი ინფორმაცია შეიძლება შავ ბაზარზე გაიყიდოს და მიიღოს იმან ვინც ყველაზე მეტს გადაიხდის.

არის რამე საინტერესო ტექსტები ფაილებში, რომელზე დაყრდნობითაც შეიძლება შემტევების წარმომავლობის დადგენა?

ზოგიერთ მოდულში არის საინტერესო ბეჭდვითი შეცდომები და შეცდომით აკრეფილი ბრძანებები:

აქ გამოყენებული სიტყვა PROGA, შესაძლოა იყოს რუსული სიტყვა ПРОГА-ს ტრანსლიტერაცია რომელიც რუსულენოვანი პროგრამისტების ჟარგონზე პირდაპირ პროგრამას ნიშნავს.

სიტყვა Zakladka რუსულში ორ მნიშვნელობას ატარებს:

C++ კლასი, რომელიც შეიცავს სამართავი ცენტრის კონფიგურაციას ატარებს “MPTraitor” სახელს და შესაბამისი კონფიგურაციის სექცია რესურსებში აღნიშნულია როგორც “conn_a”. რამდენიმე მაგალითი:

რა ტიპის ინფორმაციას ეძებს სისტემა დავირუსებულ მანქანაში?

ინფორმაცია შეიცავს შემდეგი ტიპის დოკუმენტების გაფართოებებს:

txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,
cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca,
aciddsk, acidpvr, acidppr, acidssa.

გაფართოება acid* ეკუთვნის საიდუმლო პროგრამულ უზრუნველყოფას შიფრაციისთვის “Acid Cryptofiles”, რომელიც გამოიყენება ევროკავშირისა და NATO-ს ზოგიერთ სტრუქტურაში

რა არის ოპერაციის მიზანი? რას ეძებდნენ ისინი ამდენი წლის განმავლობაში?

ოპერაციის მთავარი მიზანი როგორც ჩანს არის საიდუმლო ინფორმაციის მოპოვება და გეოპოლიტიცური მონაცემები, თუმცა გროვდება ნებისმიერი ინფორმაცია. ხუთი წლის განმავლობაში შემტევებმა მოიპოვეს ძალიან მაღალი რანგის ორგანიზაციების საიდუმლო ინფორმაცია და უცნობია თუ რისთვის და როგორ იქნა ის შემდგომში გამოყენებული.

როგორია დავირუსების მექანიზმი? აქვს მას თვითგავრცელების მექანიზმი? როგორ მუშაობს ეს?

ვირუსული კომპლექსის მთავარი მოდული არის შესვლის წერტილის მსგავსი რამ სისტემაში და საშუალებას იძლევა ჩაიტვირთოს დამატებითი მოდულები შეტევის შემდეგი სტადიებისათვის. საწყისი დავირუსების შემდეგ მოდული თავისთავად არ ვრცელდება ქსელში. შემტევები რამდენიმე დღის განმავლობაში აგროვებენ ინფორმაციას, განსაზღვრავენ უმთავრეს სისტემებს და მხოლოდ შემდგომა ამატებენ დანარჩენ მოდულებს, რომელბიც ავირუსებენ სხვა კომპიუტერებს ქსელში სხვა-და სხვა მეთოდით, მაგ, MS08-067 ექსპლოიტის საშუალებით.

სერვერიდან გამოგზავნილი დავალებების შემსრულებელი პლატფორმა შექმნილია. ასეთი დავალებების უმრავლესობა არის PE DLL ბიბლიოთეკები, რომლებიც იტვირთება სერვერიდან, სრულდება კომპიუტერის მეხსიერებაში ფაილების შექმნის გარეშე და სამუშაოს დასრულებისთანავე “ქრებიან”

ზოგიერთი დავალება მოითხოვს სისტემაში ფაილის მუდმივად მოთავსებას, მაგ. ზოგიერთი მოდული ელოდება iPhone-ის ან Nokia-ს ან სხვა სმარტფონის მიერთებას. ასეთი დავალებები სრულდება PE EXE ფაილების საშუალებით, რომელიც სისტემაში ინსტალირდება.

მუდმივი დავალებების მაგალითები

ერთჯერადი დავალებების მაგალითები

პლატფორმა შემტევებმა ნულიდან შექმნეს და არ იყო ჩვენთვის მანამდე ცნობილ ოპერაციებშ გამოყენებული.

ცნობილია რამდენიმე მოდული, რომლებიც შექმნილია რამდენიმე ტიპის მოწყობილობებისა და ოპერაციული სისტემებისთვის:

ეს მოდული ინსტალირდება სისტემაშ და ელოდება მობილური მოწყობილობის შეერთებას, რის შემდეგაც ახდენს ინფორმაციის ამოღებას.

ჩვენ არ გამოვრიცხავთ Android სმარტფონებისთვის მოდულის არსებობასაც, მაგრამ ამ დროისთვის ის ჩვენთვის ცნობილი არ არის.

მოდულების რამდენი ვარიანტი და ვირუსული ფაილების რამდენი ტიპი იქნა აღმოჩენილი Red October-ის გამოძიებისას?

გამოძიების მსვლელობისას ჩვენ აღმოვაჩინეთ 1000-ზე მეტი ფაილი, რომელიც განეკუთვნებოდა 30 განსხვავებულ მოდულთა ჯგუფს. ყველა ეს მოდული შექმნილია 2007-დან 2013 წლის დასაწყისამდე. ყველაზე ახალი მოდულის შექმნის თარიღია 2013 წლის 8 იანვარი.

აი სრული სია მოდულებისა რომელიც ცნობილია ჩვენთვის:

 

ხორციელდებაოდა თუ არა ეს შეტევები გამიზნულად რომელიმე კონკრეტული მაღალი რანგის ორგანიზაციების წინააღმდეგ, თუ უფრო ფართო არეალს მოიცავდა?

ყველა შეტევა გულდასმით მომზადებული იყო მომზადებული სამიზნის სპეციფიკიდან გამომდინარე. მაგალითად, ყველა წყარო დოკუმენტები ისე იყო მოდიფიცირებული და აღჭურვილი უნიკალური მოდულებით, რომ მაში მითითებული იყო სამიზნის უნიკალური ID.

შემდგომში გამოიყენებოდა შემტევსა და მსხვერპლს შორის მაღალი დონის ინტერაქტიული კომუნიკაცია, განსაზღვრული იყო სპეციფიური მოდულები ქსელური კონიგურაციის და ოპერაციული სისტემის მიხედვით. მოდულები ითვალისწინებდა იმას თუ რა ტიპის პროგრამული უზრუნველყოფა ეყენა მსხვერპლის კომპიუტერზე და ა. შ.

Flame და Gaus კიბერშპიონაჟის კამპანიებისგან განსხვავებით, რომლებიც მნიშვნელოვნად ავტომატიზირებული იყო, Red October_ის შეტება უფრო პერსონალური და ორიენტირებული იყო კონკრეტულ სამიზნეებზე.

ეს რამენაირად უკავშირდება Druqu, Flame და Gauss ვირუსებს?

მოკლედ რომ გითხრათ ჩვენ ვერ აღმოვაჩინეთ კავშირი Red October-სა და Flame/Tilded პლატფორმებს შორის.

შეიძლება რამენაირად შევადაროთ ოერაცია Red October მსგავს კიბერშპიონურ ოპერაციებს, როგორიცაა Aurora ან Night Dragon? არის მნიშვნელოვანი განსხვავება ან მსგავსება?

Aurora ან Night Dragon-თან შედარებით Red October უფრო რთული და კომპლექსური ოპერაციაა. გამოძიების მსვლელობისას ჩვენ აღმოვაჩინეთ 1000 უნიკალური ფაილი 30  განსხვავებული ტიპის მოდულების ჯგუფიდან Backdoor.Win32.Sputnik. Aurora და Night Dragon იყენებდნენ უფრო მარტივ ვირუსულ პროგრამებს ინფორმაციის მოსაპარად ვიდრე Red October.

ამის გარდა ოპერაციის მსვლელობისას შემტევებმა მოახერხეს 5 წლის განმავლობაში მუშაობა ისე რომ მათი აღმოჩენა ვერ შეძლო ანტივირუსული გადაწყვეტილებების უმრავლესობამ და ჩვენი შეფასებით ამ დროისათვის მათ მოიპარეს ასობით ტერაბაიტი ინფორმაცია.

რამდენი სამართავი სერვერი გამოიყენებოდა? გამოიკვლიეთ ისინი?

გამოძიების დროს ჩვენ აღმოვაჩინეთ 60-ზე მეტი დომენური სახელი, რომელსაც შემტევები იყენებდნენ კონტროლისა და ინფორმაციის შეგროვებისთვის. დომენები განთავსებული იყო ათეულობით IP მისამართზე, რომლებიც უმთავრესად გერმანიასა და რუსეთშია.

ეს არის ოპერაციის ინფრასტრუქტურული სქემა, რომელიც ჩვენ გამოვარკვიეთ ჩვენი გამოძიების მსვლელობისას 2012 წლის ბოლოსთვის:

უფრო დეტალური ინფორმაცია სერვერების შესაებ ჩვენ მიერ მოგვიანებით იქნება გამოქვეყნებული.

განახორციელეთ თუ არა sinkhole რომელიმე Command & Control სერვერზე?

კი, ჩვენ შევძელით მოგვეპოვებინა კონტროლი 6 დომენზე, რომელიც იყენებდა ბექდორის განსხვავებულ ვარიანტებს. 2012 წლის 2 ნომებრიდან 2013 წლის 10 იანვრამდე ჩენ დავაფიქსირეთ 55 000 შეერთება ჩვენს sinkhole-ზე და სულ 250 IP მისამართიდან მოხდა დაკავშირება.

IP მისამართების გეოგრაფიული მდებარობის მიხედვით ჩვენ განვსაზღვრეთ 39 ქვეყანა. ყველაზე მეტი IP დაფიქსირდა შვეიცარიაში. ყაზახეთი და საბერძნეთი მეორე და მესამე ადგილზე არიან.

ამ გამოძიების დროს თანამშრომლობს თუ არა კასპერსკის ლაბორატორია სამთავრობო ორგანიზაციებთან, Computer Emergency Response Teams (CERTs), სამართალდამცავ ორგანოებთან ან უსაფრთხოების კომპანიებთან?

კასპერსკის ლაბორატორია თანამშრომლობს საერთაშორისო ორგანიზაციებთან, სამართალდამცავ ორგანოებთან, ნაციონალურ CERT-ებთან და სხვა IT Security კომპანიებთან და აგრძელებს Red October-ის გამოძიებას, აწვდის რა ტექნიკურ ექსპერტიზას და რესურსებს იმისათვის, რომ დაიგეგმოს ღონიძიებები დავირუსებული სისტემების რეაბილიტაციისათვის.

კასპერსკის ლაობორატორია მადლობას უხდის US-CERT, რუმინეთის CERT-ს, ბელორუსიის პრეზიდენტთან არსებულ ოპერატიულ-ანალიტიკურ ცენტრს მათი დახმარებისთვის ამ გამოძიებაში

წყარო: SECURELIST

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იქნება. სავალდებულო ველების მონიშვნის ნიშანი *

This site uses Akismet to reduce spam. Learn how your comment data is processed.