ოპერაცია “წითელი ოქტომბერი” – კიბერშპიონაჟის ფართო ქსელი დიპლომატიური და სახელმწიფო სტრუქტურების წინააღმდეგ

მინდა შემოგთავაზოთ “კასპერსკის ლაბორატორიის” კვლევითი ცენტრის ექსპერტის ანგარიშის თარგმანი სადაც მოთხრობილია დიდი კებერშპიონაჟის ქსელის შესახებ, რომელიც რამდენიმე წელია ფუნქციონირებს და იპარავს ინფორმაციას როგორც კომერციული ასევე დიპლომატიური და სამთავრობო კომპიუტერული სისტემებიდან. ანგარიშის პირველი ნაწილი და არ შეიცავს დეტალურ ტექნიკურ ინფორმაციას ამიტომაც არის ინციდენტის ზოგადი განხილვა.

ბოლო ხუთი წლის განმავლობაში, უამრავი ქვეყნის დიპლომატიური უწყებების, სახელმწიფო სტრუქტურების და სამეცნიერო-კვლევითი ორგანიზაციების მიმართ ხორციელდება კიბერშპიონაჟის ოპერაცია, რომლიც აგროვებს არასაიდუმლო და საიდუმლო ინფორმაციას ორგანიზაციების მობილური მოწყობილობებიდან, კომპიუტერებიდან და ქსელური მოწყობილობებიდან.

“კასპერსკის ლაბორატორიის” ექსპერტები თვეების განმავლობაში ანალიზს უტარებდნენ ვირუსულ ფაილებს, რომელიც გამოიყენებოდა შეტევისას და გამიზნული იყო კონკრეტულ ორგანიზაციებზე აღმოსავლეთ ევროპაში, ყოფილი საბჭოთა კავშირის ქვეყნებსა და ცენტრალურ აზიაში, ასევე დასავლეთ ევროპასა და ჩრდილოეთ ამერიკაში.

ამ ოპერაციას ჩვენ დავარქვით “წითელი ოქტომბერი” (Red October) შემოკლებით Rocra და ის ახლაც მოქმედების აქტიურ ფაზაშია: მოპარული ინფორმაცია იგზავნება მმართველ სერვერებზე და ქსელის კონფიგურაცია თავისი სირთულით ტოლს არ უდებს Flame-ის ინფრასტრუქტურას. სარეგისტრაციო ინფორმაცია, რომელიც C&C (სამართავი სერვერების) დომენების ყიდვისას დაფიქსირდა და ასევე ფაილების შქმნის თარიღები მეტყველებს იმაზე, რომ შეტევები უკვე 2007 წლის მაისში ხორციელდებოდა.

ჩვენი გამოძიების რამდენიმე საკვანძო ფაქტი

შემტევები აქტიურობდნენ ბოლო ხუთი წლის განმავლობაში და მათი მიზანი იყო დიპლომატიური და სახელმწიფო სტრუქტურები მსოფლიოს სხვა და სხვა ქვეყნებში.
ინფორმაცია, რომელიც გროვდება დავირუსებული ქსელებიდან, გამოიყენებოდა შემდეგი შეტევების განსახორციელებლად. მაგალითად, მოპარული პაროლები იკრიბებოდა სპეციალურ სიებად და გამოიყენებოდა სხვა ქსელებში სახელებისა და პაროლების გასაშიფრად.
დავირუსებული ქსელების და სისტემების საკონტროლებლად შემტევებმა შექმნეს 60 სხვა და სხვა დომენური სახელი, რომელიც განთავსებულა სხვა და სხვა ქვეყნის ჰოსტინგებზე (უმთავრესად გერმანიაში და რუსეთში).
სერვერების ინფრასტრუქტურა თავისთავად წარმოადგენს პროქსი-სერვერების ჯაჭვს და ის ეფექტურად ნიღბავს რეალური ფინალური სერვერის განთავსების ადგილს სადაც უკვე შეგროვებული ინფორმაცია ინახება.
მრავალფუნქციონალური პლატფორმა გათვლილია იმაზე, რომ სწრაფად აითვისოს ინფორმაციის შეგროვების ახალი მოდულები (კასპერსკის ლაბორატორია მას იდენტიფიცირებას უკეთებს როგორც Backdoor.Win32.Sputnik) სისტემა ასევე ფლობს თავდაცვით ფუნქციონალს და მისი ბლოკირებისას ცდილობს გამოიყენოს კავშირის ალტერნატიული არხები.
შეტევის ტრადიციული სამიზნეების (სამუშაო სადგურების) გარდა სისტემას შეუძლია მოიპაროს ინფორმაცია მობილური მოწყობილობებიდან, როგორიცაა (iPhone, Nokia, Windows Mobile) ასევე შეუძლია ამოიღოს ინფორმაცია ქსელური მოწყობილობებიდან (Cisco). შეუძლია ამოიღოს ინფორმაცია მიერთებული USB დისკებიდან (მათ შორის უკვე წაშლილი ფაილებიც, ამისთვის შემუშავებული აქვთ ფაილების აღდგენის უნიკალური ტექნოლოგია). შეუძლიათ ამოიღონ ელ-ფოსტა Outlook-ის ლოკალური საცავიდან ან დაშორებული POP/IMAP სერვერებიდან, ასევე ლოკალური FTP სერვერებიდან ქსელში.
აღმოვაჩინეთ მინიმუმ სამი განსხვავებული ექსპლოიტის ვერსია რომელიც უკვე ცნობილი იყო მანამდე: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word). 2010-2011 წლებში ჩვენთვის ცნობილ შეტევებში გამოიყენებოდა MS Excel-ის ექსპლოიტები, 2012 წლის ზაფხულიდან კი დაიწყო MS Word-ის ექსპლოიტებით შეტევაც.
ექსპლოიტები, რომელბიც გამოიყენებოდა დოკუმენტებში რაც იგზავნებოდა ფიშინგ შეტევებისთვის სექმნილია სხვა ადამიანების მიერ და თავიდანვე გამოყენებული იყო შეტევებში ტიბეტელ აქტივისტებთან, სამხედრო სტრუქტურებთან და ენერგეტიკულ კომპანიებთან აზიურ ქვეყნებში. Red October-ის ორგანიზატორებმა ამ დოკუმენტებში მხოლოდ შესრულებადი ფაილები შეცვალეს თავიანთი ვერსიებით.
მსხვერპლის ლოკალურ ქსელში თანმიმდევრული გავრცელების შემდეგ, შემტევები ნერგავდნენ ქსელი სკანირების მოდულს, რითაც ეძებდნენ მანქანებს, რომელთა დავირუსებაც შეიძლებოდა MS08-067 ექსლოიტის საშუალებით (ამ ექსპლოიტს იყენებდა Conficker) ან იყენებდნენ ადმინისტრატორის ანგარიშს სადაც იყო პაროლების მონაცემთა ბაზა. განსხვავებული მოდული გამოიყენებოდა იმავე ქსელში სერვერების დასავირუსებლად.
სერვერების სარეგისტრაციო ინფორმაცია და სხვა არტეფაქტები, რომლებიც გამშვებ ფაილებში აღმოვაჩინეთ გვაძლევს საშუალებას ვივარაუდოთ, რომ შემტევები რუსულ ენაზე მოსაუბრენი იყვნენ.
შემტევთა ეს ჯგუფი და მათ მიერ გამოყენებული ფაილები ადრეც იყო ცნობილი და ისინი არაფრით არ უკავშირდებიან ჩვენთვის ცნობილ რომელიმე გამიზნულ შეტევას. აღსანიშნავია, რომ ერთ-ერთი ტროიანის მოდულში გამოყენებული ბრძანება არის სისტემის კოდური გვერდის 1251-ზე გადაყვანა. ეს იმისათვისაა საჭირო რომ მივმართოთ ფაილებს, რომლებიც კირილიცაზე აკრეფილ სიმბოლოებს შეიცავს.

FAQ

რა არის Red October

Red October – ეს არის გამიზნული შეტევების სერია, რომელიც გრძელდებოდა მინიმუმ უკანასკნელი 5 წლის განმავლობაში. ამ ოპერაციის მსვლელობისას მთელს მსოფლიოში ასობით მსხვერპლს შეუტიეს. დაზარალებული ორგანიზაციები განეკუთვნებიან შემდეგ 8 კატეგორიას:

სახელმწიფო სტრუქტურები
დიპლომატიური უწყებები/საელჩოები
კვლევითი ინსტიტუტები
სავაჭრო და კომერციული სტრუქტურები
ბირთვული/ენერგეტიკული კველევები
ნავთობისა და გაზის კომპანიები
აეროკოსმოსური სექტორი
სამხედრო უყებები და კომპანიები რომლებიც უკავშირდება იარაღის წარმოებას

სრულიად შესაძლებელია, რომ არსებობს სამიზნე-ორგანიზაციების სხვა კატეგორიებიც, რომელთა გამოვლენათ ჩვენ ჯერ-ჯერობით ვერ შევძელით ან წარსულში განხორციელდა.

როდის და როგორ იქნა ეს ოპერაცია აღმოჩენილი?

ჩვენ ამ შეტევის შესწავლა 2012 წელს ერთ-ერთი ჩვენი პარტნიორის თხოვნით. შეტევის ანალიზის პროცესში, წერილებში და პროგრამულ მოდულებში ჩვენთვის ნათელი გახდა კამპანიის რეალური ზომა და გადავწყვიტეთ დაგვეწყო სრულმასშტაბიანი გამოძიება.

ვინ მოგაწოდათ ვირუსული მოდულები?

ჩვენ ის ჩვენი პარტნიორისგან მივიღეთ, რომელიც იყო კვლევის შემკვეთი და მას ანონიმურად დარჩენა ურჩევნია.

რამდენი დავირუსებული სისტემა აღმოაჩინა კასპერსკის ლაბორატორიამ? რამდენი სხვერპლი შეიძლება ამას მოყვეს? რამხელაა Red October-ის მასშტაბი გლობალური თვალსაზრისით?

ბოლო თვეების განმავლობაში ჩვენ აღმოვაჩინეთ რამდენიმე ასეული სისტემა მთელს მსოფლიოში – ყველა მსხვერპლი მაღალი რანგის ორგანიზაციებს განეკუთვნება, როგორიცაა მაგალითად სამთავრობა ქსელები და დიპლომატიური სტრუქტურები. სისტემა უმთავრესად აღმოვაჩინეთ აღმოსავლეთ ევროპაში და ყოფილი საბჭოთა კავშირის ქვეყნებში. თუმცა არის მსხვერპლი შუა აზიაში, ჩრდილოეთ ამერიკასა და დასავლეთ ევროპის ქვეყნებში მაგ. ლუქსემბურგში და შვეიცარიაში.

Kapersky Security Network (KSN)-ის მონაცემებზე დაყრდნობით ჩევნ შევადგინეთ ქვეყნების სია სადაც ყველაზე მეტად გავრცელდა Backdoor.Win32.Sputnik (სიაშია ქვეყნები 5-ზე მეტი მსხვერპლით)

ქვეყანა	მსხვერპლი
რუსეთი	38
ყაზახეთი	21
აზერბაიჯანი	15
ბელგია	15
ინდოეთი	14
ავღანეთი	10
სასომხეთი	10
ირანი	7
თურქმენეთი	7
უკრაინა	6
ა.შ.შ.	6
ვიეტნამი	6
ბელორუსია	5
საბერძნეთი	5
იტალია	5
მაროკო	5
პაკისტანი	5
შვეიცარია	5
უგანდა	5
არაბეთი გაერთიანებული საამიროები	5

ყვეით არის sinkhole ტექნოლოგიის საშუალებით შეგროვებული სტატისტიკა

ვინ დგას ამ შეტევის უკან? არის ეს შეტევები რომელიმე სახელმწიოფს მხარდაჭერით განხორციელებული?

ინფორმაცია, რომელსაც ჩვენ ვფლობთ არ გვაძლევს საშუალებას პირდაპირ დავადგინოთ შეტევის ზუსტი წყარო, თუმცა ჩვენთვის ნათელია ორი მნიშვნელოვანი ფაქტი:

გამოყენებული ექსპლოიტები პირველად ჩინელმა ჰაკერებმა შქმნეს.
Red October-ის ვირუსული მოდულები კი რუსულენოვანი სპეციალისტების მიერ იყო შექმნილი.

ამ ეტაპზე ჩვენ არ გვაქვს ფაქტები, რომლებიც პირდაპირ მიუთითებს რომელიმე სახელმწიფოზე. ინფორმაცია რომელიც შემტევებმა მოიპარეს სრულიად საიდუმლოა და შეიცავს გარკვეულ გეოპოლიტიკურ მონაცემებს, რომლებიც სახემწიფო დონეზე შეიძლება იქნეს გამოყენებული. ასეთი ინფორმაცია შეიძლება შავ ბაზარზე გაიყიდოს და მიიღოს იმან ვინც ყველაზე მეტს გადაიხდის.

არის რამე საინტერესო ტექსტები ფაილებში, რომელზე დაყრდნობითაც შეიძლება შემტევების წარმომავლობის დადგენა?

ზოგიერთ მოდულში არის საინტერესო ბეჭდვითი შეცდომები და შეცდომით აკრეფილი ბრძანებები:

network_scanner: “SUCCESSED”, “Error_massage”, “natrive_os”, “natrive_lan”
imapispool: “UNLNOWN_PC_NAME”, “WinMain: error CreateThred stop”
mapi_client: “Default Messanger”, “BUFEER IS FULL”
msoffice_plugin: “my_encode my_dencode”
winmobile: “Zakladka injected”, “Cannot inject zakladka, Error: %u”
PswSuperMailRu: “——-PROGA START—–“, “——-PROGA END—–“

აქ გამოყენებული სიტყვა PROGA, შესაძლოა იყოს რუსული სიტყვა ПРОГА-ს ტრანსლიტერაცია რომელიც რუსულენოვანი პროგრამისტების ჟარგონზე პირდაპირ პროგრამას ნიშნავს.

სიტყვა Zakladka რუსულში ორ მნიშვნელობას ატარებს:

წიგნის სანიშნი
სპეციფიური ტერმინი რითაც დამალული ფუნქციონალი აღინიშნება პროგრამასა თუ მოწყობილობაში. ასევე შეიძლება ერქვეს მიკროფონს რომელიც შეიძლება დამალული იყოს აგურებს შორის საელჩოს კედელში.

C++ კლასი, რომელიც შეიცავს სამართავი ცენტრის კონფიგურაციას ატარებს “MPTraitor” სახელს და შესაბამისი კონფიგურაციის სექცია რესურსებში აღნიშნულია როგორც “conn_a”. რამდენიმე მაგალითი:

conn_a.D_CONN
conn_a.J_CONN
conn_a.D_CONN
conn_a.J_CONN

რა ტიპის ინფორმაციას ეძებს სისტემა დავირუსებულ მანქანაში?

ინფორმაცია შეიცავს შემდეგი ტიპის დოკუმენტების გაფართოებებს:

txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,
cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca,
aciddsk, acidpvr, acidppr, acidssa.

გაფართოება acid* ეკუთვნის საიდუმლო პროგრამულ უზრუნველყოფას შიფრაციისთვის “Acid Cryptofiles”, რომელიც გამოიყენება ევროკავშირისა და NATO-ს ზოგიერთ სტრუქტურაში

რა არის ოპერაციის მიზანი? რას ეძებდნენ ისინი ამდენი წლის განმავლობაში?

ოპერაციის მთავარი მიზანი როგორც ჩანს არის საიდუმლო ინფორმაციის მოპოვება და გეოპოლიტიცური მონაცემები, თუმცა გროვდება ნებისმიერი ინფორმაცია. ხუთი წლის განმავლობაში შემტევებმა მოიპოვეს ძალიან მაღალი რანგის ორგანიზაციების საიდუმლო ინფორმაცია და უცნობია თუ რისთვის და როგორ იქნა ის შემდგომში გამოყენებული.

როგორია დავირუსების მექანიზმი? აქვს მას თვითგავრცელების მექანიზმი? როგორ მუშაობს ეს?

ვირუსული კომპლექსის მთავარი მოდული არის შესვლის წერტილის მსგავსი რამ სისტემაში და საშუალებას იძლევა ჩაიტვირთოს დამატებითი მოდულები შეტევის შემდეგი სტადიებისათვის. საწყისი დავირუსების შემდეგ მოდული თავისთავად არ ვრცელდება ქსელში. შემტევები რამდენიმე დღის განმავლობაში აგროვებენ ინფორმაციას, განსაზღვრავენ უმთავრეს სისტემებს და მხოლოდ შემდგომა ამატებენ დანარჩენ მოდულებს, რომელბიც ავირუსებენ სხვა კომპიუტერებს ქსელში სხვა-და სხვა მეთოდით, მაგ, MS08-067 ექსპლოიტის საშუალებით.

სერვერიდან გამოგზავნილი დავალებების შემსრულებელი პლატფორმა შექმნილია. ასეთი დავალებების უმრავლესობა არის PE DLL ბიბლიოთეკები, რომლებიც იტვირთება სერვერიდან, სრულდება კომპიუტერის მეხსიერებაში ფაილების შექმნის გარეშე და სამუშაოს დასრულებისთანავე “ქრებიან”

ზოგიერთი დავალება მოითხოვს სისტემაში ფაილის მუდმივად მოთავსებას, მაგ. ზოგიერთი მოდული ელოდება iPhone-ის ან Nokia-ს ან სხვა სმარტფონის მიერთებას. ასეთი დავალებები სრულდება PE EXE ფაილების საშუალებით, რომელიც სისტემაში ინსტალირდება.

მუდმივი დავალებების მაგალითები

USB დისკის მიერთებისას ის ეძებს იქ ფალებს საძიებო სიტყვის/ფორმატის მიხედვით. ეძებს ადრე წაშლილ ფაილებსაც როლების აღდგენაც სპეციალური პროგრამის საშუალებით ხორციელდება ადგილზევე.
ელოდება iPhone/Nokia მობილური ტელეფონის მიერთებას. მიერთებისას აგროვებს ინფორმაციას მის შესახებ და აკოპირებს კონტაქტებს, ზარების სიტორიას, SMS შეტყობინებებს, კალენდარში დაგეგმილ შეხვედრებს და ბრაუზერის ისტორიას.
ელოდება Windows Mobile ტელეფონის მიერთებას და დაავირუსებს მას ისე რომ შემდგომში სხვა კომპიუტერსაც გადასდოს სენი.
ელოდება სპეციალური Microsoft Office ან PDF დოკუმენტის გახსნას და ასრულებს ვირუსულ აქტივობას რომელიც ასეთ დოკუმენტშია წინასწარ ჩაწერილი რაც ცალმხრივი ინფორმაციული არხის მოვალეობას ასრულებს და გამოყენება სისტემაზე კონტროლის აღსადგენად იმ შემთხვევაში თუ გამოირთო სამართავი სერვერები.
იწერს კლავიატურაზე აკრეფილ ნებისმიერ სიმბოლოს და იღებს ეკრანის ანაბეჭდებს.
იყენებს დამატებით დაშიფრულ მოდულებს წინასწარ განსაზღვრული განრიგის მიხედვით.
აგროვებს საფოსტო შეტყობინებებს და მიბმულ ფაილებს Microsoft Outlook-ში. ასევე ყველა ხელმისაწვდომი საფოსტო სერვერებიდან (წინასწარ მოპოვებული პაროლების საშუალებით)

ერთჯერადი დავალებების მაგალითები

საერთო ინფორმაციის შეგროვება სისტემის და მისი გარემოს შესახებ
ფაილური სისტემის და ქსელური გარემოს შესახებ ინფორმაციის შეგროვება და კატალოგების სიის შექმნა, სამართავი სერვერის ბრძანებით ფაილების ძებნა და ამოღება
დაინსტალირებული პროგრამების შესახებ ინფორმაციის მოძიება, მათ შრის უმთავრესად Oacle DB, Radmin, IM Software Mail.ru agent-ის ჩათვლით. ასევე ინფორმაცია დრაივერების და Windows Mobile, Nokia, SOnyERicsoosn, HTC, Android, USB დისკების შესახებ
შემდეგი ბრაუზერების ისტორიის ამოღება: Chrome, Firefox, Internet Explorer, Opera
ვებ საიტებზე, FTP სერვერებზე, საფოსტო და IM ანგარიშებზე შენახული პაროლების ამოღება.
Windows-ის ანგარიშის ხეშების ამოღება, ალბათ მისი შემდგომში ბრუტფორს-გატეხვისათვის.
Outlook-ის ანგარიშების ამოღება
დავირუსებული სისტემის გერ IP მისამართის განსაზღვრა
ფაილების FTP სერვერიდან ამოღება, რომლებიც ხელმისაწვდომია დავირუსებული სისტემიდან (მათ შორის ლოკალურ ქსელში) ამ დროს გამოიყენება უფრო ადრინდელი შეტევებისას მოპოვებული პაროლები და ინფორმაცია.
პროგრამული კოდის ჩაწერა ან გაშვება
ქსელური სკანირების გაშვება, Cisco-ს ქსელური მოწყობილობებთან წვდომის მიღება და მათგან კონფიგურაციების ამოღება
ქსელური სკანირების გაშვება და სისტემაში MS08-067 ექსპლოიტით მოწყვლადი კომპიუტერების ძებნა

პლატფორმა შემტევებმა ნულიდან შექმნეს და არ იყო ჩვენთვის მანამდე ცნობილ ოპერაციებშ გამოყენებული.

ცნობილია რამდენიმე მოდული, რომლებიც შექმნილია რამდენიმე ტიპის მოწყობილობებისა და ოპერაციული სისტემებისთვის:

Windows Mobile
iPhone
Nokia

ეს მოდული ინსტალირდება სისტემაშ და ელოდება მობილური მოწყობილობის შეერთებას, რის შემდეგაც ახდენს ინფორმაციის ამოღებას.

ჩვენ არ გამოვრიცხავთ Android სმარტფონებისთვის მოდულის არსებობასაც, მაგრამ ამ დროისთვის ის ჩვენთვის ცნობილი არ არის.

მოდულების რამდენი ვარიანტი და ვირუსული ფაილების რამდენი ტიპი იქნა აღმოჩენილი Red October-ის გამოძიებისას?

გამოძიების მსვლელობისას ჩვენ აღმოვაჩინეთ 1000-ზე მეტი ფაილი, რომელიც განეკუთვნებოდა 30 განსხვავებულ მოდულთა ჯგუფს. ყველა ეს მოდული შექმნილია 2007-დან 2013 წლის დასაწყისამდე. ყველაზე ახალი მოდულის შექმნის თარიღია 2013 წლის 8 იანვარი.

აი სრული სია მოდულებისა რომელიც ცნობილია ჩვენთვის:

ხორციელდებაოდა თუ არა ეს შეტევები გამიზნულად რომელიმე კონკრეტული მაღალი რანგის ორგანიზაციების წინააღმდეგ, თუ უფრო ფართო არეალს მოიცავდა?

ყველა შეტევა გულდასმით მომზადებული იყო მომზადებული სამიზნის სპეციფიკიდან გამომდინარე. მაგალითად, ყველა წყარო დოკუმენტები ისე იყო მოდიფიცირებული და აღჭურვილი უნიკალური მოდულებით, რომ მაში მითითებული იყო სამიზნის უნიკალური ID.

შემდგომში გამოიყენებოდა შემტევსა და მსხვერპლს შორის მაღალი დონის ინტერაქტიული კომუნიკაცია, განსაზღვრული იყო სპეციფიური მოდულები ქსელური კონიგურაციის და ოპერაციული სისტემის მიხედვით. მოდულები ითვალისწინებდა იმას თუ რა ტიპის პროგრამული უზრუნველყოფა ეყენა მსხვერპლის კომპიუტერზე და ა. შ.

Flame და Gaus კიბერშპიონაჟის კამპანიებისგან განსხვავებით, რომლებიც მნიშვნელოვნად ავტომატიზირებული იყო, Red October_ის შეტება უფრო პერსონალური და ორიენტირებული იყო კონკრეტულ სამიზნეებზე.

ეს რამენაირად უკავშირდება Druqu, Flame და Gauss ვირუსებს?

მოკლედ რომ გითხრათ ჩვენ ვერ აღმოვაჩინეთ კავშირი Red October-სა და Flame/Tilded პლატფორმებს შორის.

შეიძლება რამენაირად შევადაროთ ოერაცია Red October მსგავს კიბერშპიონურ ოპერაციებს, როგორიცაა Aurora ან Night Dragon? არის მნიშვნელოვანი განსხვავება ან მსგავსება?

Aurora ან Night Dragon-თან შედარებით Red October უფრო რთული და კომპლექსური ოპერაციაა. გამოძიების მსვლელობისას ჩვენ აღმოვაჩინეთ 1000 უნიკალური ფაილი 30 განსხვავებული ტიპის მოდულების ჯგუფიდან Backdoor.Win32.Sputnik. Aurora და Night Dragon იყენებდნენ უფრო მარტივ ვირუსულ პროგრამებს ინფორმაციის მოსაპარად ვიდრე Red October.

ამის გარდა ოპერაციის მსვლელობისას შემტევებმა მოახერხეს 5 წლის განმავლობაში მუშაობა ისე რომ მათი აღმოჩენა ვერ შეძლო ანტივირუსული გადაწყვეტილებების უმრავლესობამ და ჩვენი შეფასებით ამ დროისათვის მათ მოიპარეს ასობით ტერაბაიტი ინფორმაცია.

რამდენი სამართავი სერვერი გამოიყენებოდა? გამოიკვლიეთ ისინი?

გამოძიების დროს ჩვენ აღმოვაჩინეთ 60-ზე მეტი დომენური სახელი, რომელსაც შემტევები იყენებდნენ კონტროლისა და ინფორმაციის შეგროვებისთვის. დომენები განთავსებული იყო ათეულობით IP მისამართზე, რომლებიც უმთავრესად გერმანიასა და რუსეთშია.

ეს არის ოპერაციის ინფრასტრუქტურული სქემა, რომელიც ჩვენ გამოვარკვიეთ ჩვენი გამოძიების მსვლელობისას 2012 წლის ბოლოსთვის:

უფრო დეტალური ინფორმაცია სერვერების შესაებ ჩვენ მიერ მოგვიანებით იქნება გამოქვეყნებული.

განახორციელეთ თუ არა sinkhole რომელიმე Command & Control სერვერზე?

კი, ჩვენ შევძელით მოგვეპოვებინა კონტროლი 6 დომენზე, რომელიც იყენებდა ბექდორის განსხვავებულ ვარიანტებს. 2012 წლის 2 ნომებრიდან 2013 წლის 10 იანვრამდე ჩენ დავაფიქსირეთ 55 000 შეერთება ჩვენს sinkhole-ზე და სულ 250 IP მისამართიდან მოხდა დაკავშირება.

IP მისამართების გეოგრაფიული მდებარობის მიხედვით ჩვენ განვსაზღვრეთ 39 ქვეყანა. ყველაზე მეტი IP დაფიქსირდა შვეიცარიაში. ყაზახეთი და საბერძნეთი მეორე და მესამე ადგილზე არიან.

ამ გამოძიების დროს თანამშრომლობს თუ არა კასპერსკის ლაბორატორია სამთავრობო ორგანიზაციებთან, Computer Emergency Response Teams (CERTs), სამართალდამცავ ორგანოებთან ან უსაფრთხოების კომპანიებთან?

კასპერსკის ლაბორატორია თანამშრომლობს საერთაშორისო ორგანიზაციებთან, სამართალდამცავ ორგანოებთან, ნაციონალურ CERT-ებთან და სხვა IT Security კომპანიებთან და აგრძელებს Red October-ის გამოძიებას, აწვდის რა ტექნიკურ ექსპერტიზას და რესურსებს იმისათვის, რომ დაიგეგმოს ღონიძიებები დავირუსებული სისტემების რეაბილიტაციისათვის.

კასპერსკის ლაობორატორია მადლობას უხდის US-CERT, რუმინეთის CERT-ს, ბელორუსიის პრეზიდენტთან არსებულ ოპერატიულ-ანალიტიკურ ცენტრს მათი დახმარებისთვის ამ გამოძიებაში

წყარო: SECURELIST

Tagged Aurora, Backdoor.Win32.Sputnik, Flame, Gauss, Kaspersky, Kaspersky Laboratories, Night Dragon, Red October, Security

კომენტარის დატოვება

This site uses Akismet to reduce spam. Learn how your comment data is processed.