04:18 am - За 5 лет стырили сотни терабайт конфиденциальной инфы.
Вчера в своей первой части отчёта "Лаборатория Касперского" раскрыла детали грандиозной операции кибер-шпионажа. В тоннах информационного мусора, ежедневно производимого профессиональными журнализдами, я нашёл 0 упоминаний названного события. Цитирую текст с сокращениями.
На протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибер-шпионажа, во время которой собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций.
(Операция) ... была нацелена на конкретные организации в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки.
Эта операция продолжает оставаться в активной фазе даже сейчас. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.
- Атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира.
- Информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях.
- Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные.
- Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера.
- Регистрационные данные серверов управления и различные ′артефакты′, оставленные в исполняемых файлах, дают веские основания для предположения, что атакующие - русскоязычные.
- Эта группа атакующих и используемые ими файлы были неизвестны ранее, и они никак не связаны с какими-либо другими известными нам целевыми атаками. Примечательно, что одна из команд в троянском модуле инсталляции переключает кодовую страницу инфицируемой системы на 1251. Это требуется для того, чтобы иметь возможность обращаться к файлам и каталогам, содержащим кириллические символы.
- Правительственные структуры
- Дипломатические ведомства/посольства
- Исследовательские институты
- Торговые и коммерческие структуры
- Ядерные/энергетические исследования
- Нефтяные и газовые компании
- Аэрокосмическая отрасль
- Военные ведомства и компании, связанные с созданием вооружений
За последние месяцы мы обнаружили несколько сотен заражений по всему миру - все жертвы относятся к организациям высокого ранга, таким, например, как правительственные сети и дипломатические структуры. Заражения мы идентифицировали, в основном, в Восточной Европе и странах бывшего СССР, однако есть жертвы в Средней Азии, Северной Америке и в странах Западной Европы, например, в Люксембурге и Швейцарии.
Информация, украденная атакующими, очевидно является крайне конфиденциальной и включает в себя, в частности, различные геополитические данные, которые могут быть использованы на государственном уровне. Такая информация может быть выставлена на торги на ′черном рынке′ и продана любому, кто предложит наиболее высокую цену.
Какая информация похищается из зараженных систем? Информация включает в себя документы с расширениями: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa.
В частности, расширение "acid*" принадлежит секретному программному обеспечению для шифрования "Acid Cryptofiler", которое используется в некоторых структурах Евросоюза и NATO.
Основной целью операции, как представляется, является сбор секретной информации и геополитических данных, хотя, по-видимому, информация собирается достаточно разнообразная. За последние пять лет атакующие украли данные у сотен организаций высокого ранга.
- При подключении USB диска найти и извлечь с него файлы по маске/формату, включая удаленные ранее файлы. Удаленные файлы восстанавливаются при помощи специального файлового обработчика.
- Ожидать подключения мобильного телефона iPhone/Nokia. После подключения собрать информацию об устройстве, скопировать его адресную книгу, список контактов, историю звонков, SMS сообщения, данные календаря, историю браузера
- Ожидать подключения телефона на базе Windows Mobile. После подключения заразить телефон мобильным вариантом основного компонента бэкдора
- Запись всех вводимых данных с клавиатуры, снятие скриншотов.
- Сбор почтовых сообщений и вложенных файлов из Microsoft Outlook, а также их доступных почтовых серверов (используются ранее полученные учетные данные)
- Сбор общей информации о системе и устройствах окружения.
- Сбор информации о файловой системе и сетевом окружении, составление списка каталогов, поиск и извлечение файлов по маске по команде сервера управления.
- Сбор информации об установленных программах, особенно об Oracle DB, RAdmin, IM software включая Mail.Ru agent, драйверах и приложениях для Windows Mobile, телефонах Nokia, SonyEricsson, HTC, Android, USB дисках
- Извлечение истории из браузеров Chrome, Firefox, Internet Explorer, Opera
- Извлечение сохраненных паролей к Web-сайтам, FTP-серверам, почтовым и IM аккаунтам.
- Извлечение хешей аккаунтов Windows, вероятно, для их последующего подбора-взлома.
- Извлечение аккаунтов Outlook.
- Определение внешнего IP-адреса зараженной системы.
...в ходе операции атакующие умудрились оставаться ′в игре′ больше 5 лет, избегая детектирования со стороны большинства антивирусных решений и, по нашей оценке, похитив к настоящему времени сотни терабайт информации.
...нам удалось ′перехватить′ шесть из более чем 60 доменов, использованных в разных вариантах бэкдора. В ходе мониторинга в период со 2 ноября 2012 по 10 января 2013 года мы зарегистрировали более 55 000 подключений к нашему sinkhole.
С точки зрения географического распространения этих подключений мы установили 39 стран. Наибольшее количество IP-адресов было в Швейцарии. Казахстан и Греция на втором и третьем местах.
