04:18 am - За 5 лет стырили сотни терабайт конфиденциальной инфы.
Вторник, 15 Январь 2013, msgid=05000000F9EB74D2A980279F, mode=0
Вчера в своей первой части отчёта "Лаборатория Касперского"
раскрыла детали грандиозной операции кибер-шпионажа. В тоннах
информационного мусора, ежедневно производимого профессиональными
журнализдами, я нашёл 0 упоминаний названного события. Цитирую текст с
сокращениями.
На протяжении последних пяти лет против дипломатических ведомств,
государственных структур и научно-исследовательских организаций разных
стран мира проводилась операция кибер-шпионажа, во время которой
собирались данные и секретная информация с мобильных устройств,
компьютеров и сетевого оборудования атакованных организаций.
(Операция) ... была нацелена на конкретные организации в Восточной
Европе, странах бывшего Советского Союза и Центральной Азии, а также
Западной Европы и Северной Америки.
Эта операция продолжает оставаться в активной фазе даже сейчас.
Регистрационные данные, использованные при покупке доменных имен
C&C-серверов, а также информация о датах создания файлов, указывают
на то, что эти атаки проводились еще в мае 2007 года.
Несколько ключевых фактов, обнаруженных в ходе нашего
расследования:
- Атакующие были активны на протяжении последних пяти лет,
фокусируясь на дипломатических и государственных ведомствах в разных
странах мира.
- Информация, собранная из зараженных сетей, использовалась в
последующих атаках. Например, украденные учетные данные были собраны в
специальный список и использовались, когда атакующим требовалось
подобрать логины и пароли в других сетях.
- Инфраструктура серверов управления представляет собой цепочку
прокси-серверов и скрывает местоположение реального финального сервера,
где собираются данные.
- Помимо традиционных целей атак (рабочие станции) система способна
красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia,
Windows Mobile); осуществлять сбор файлов с USB-дисков (включая ранее
удаленные файлы); красть почтовые базы данных из локального хранилища
Outlook или с удаленного POP/IMAP сервера.
- Регистрационные данные серверов управления и различные
′артефакты′, оставленные в исполняемых файлах, дают веские
основания для предположения, что атакующие - русскоязычные.
- Эта группа атакующих и используемые ими файлы были неизвестны
ранее, и они никак не связаны с какими-либо другими известными нам
целевыми атаками. Примечательно, что одна из команд в троянском модуле
инсталляции переключает кодовую страницу инфицируемой системы на 1251.
Это требуется для того, чтобы иметь возможность обращаться к файлам и
каталогам, содержащим кириллические символы.
Атакованные организации относятся к 8 категориям:
- Правительственные структуры
- Дипломатические ведомства/посольства
- Исследовательские институты
- Торговые и коммерческие структуры
- Ядерные/энергетические исследования
- Нефтяные и газовые компании
- Аэрокосмическая отрасль
- Военные ведомства и компании, связанные с созданием вооружений
За последние месяцы мы обнаружили несколько сотен заражений по всему
миру - все жертвы относятся к организациям высокого ранга, таким,
например, как правительственные сети и дипломатические структуры.
Заражения мы идентифицировали, в основном, в Восточной Европе и странах
бывшего СССР, однако есть жертвы в Средней Азии, Северной Америке и в
странах Западной Европы, например, в Люксембурге и Швейцарии.
Информация, украденная атакующими, очевидно является крайне
конфиденциальной и включает в себя, в частности, различные
геополитические данные, которые могут быть использованы на
государственном уровне. Такая информация может быть выставлена на торги
на ′черном рынке′ и продана любому, кто предложит наиболее
высокую цену.
Какая информация похищается из зараженных систем? Информация включает
в себя документы с расширениями: txt, csv, eml, doc, vsd, sxw, odt,
docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse,
pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr,
acidppr, acidssa.
В частности, расширение "acid*" принадлежит секретному
программному обеспечению для шифрования "Acid Cryptofiler",
которое используется в некоторых структурах Евросоюза и NATO.
Основной целью операции, как представляется, является сбор секретной
информации и геополитических данных, хотя, по-видимому, информация
собирается достаточно разнообразная. За последние пять лет атакующие
украли данные у сотен организаций высокого ранга.
Примеры постоянных задач
- При подключении USB диска найти и извлечь с него файлы по
маске/формату, включая удаленные ранее файлы. Удаленные файлы
восстанавливаются при помощи специального файлового обработчика.
- Ожидать подключения мобильного телефона iPhone/Nokia. После
подключения собрать информацию об устройстве, скопировать его адресную
книгу, список контактов, историю звонков, SMS сообщения, данные
календаря, историю браузера
- Ожидать подключения телефона на базе Windows Mobile. После
подключения заразить телефон мобильным вариантом основного компонента
бэкдора
- Запись всех вводимых данных с клавиатуры, снятие скриншотов.
- Сбор почтовых сообщений и вложенных файлов из Microsoft Outlook, а
также их доступных почтовых серверов (используются ранее полученные
учетные данные)
Примеры одноразовых задач
- Сбор общей информации о системе и устройствах окружения.
- Сбор информации о файловой системе и сетевом окружении,
составление списка каталогов, поиск и извлечение файлов по маске по
команде сервера управления.
- Сбор информации об установленных программах, особенно об Oracle
DB, RAdmin, IM software включая Mail.Ru agent, драйверах и приложениях
для Windows Mobile, телефонах Nokia, SonyEricsson, HTC, Android, USB
дисках
- Извлечение истории из браузеров Chrome, Firefox, Internet
Explorer, Opera
- Извлечение сохраненных паролей к Web-сайтам, FTP-серверам,
почтовым и IM аккаунтам.
- Извлечение хешей аккаунтов Windows, вероятно, для их последующего
подбора-взлома.
- Извлечение аккаунтов Outlook.
- Определение внешнего IP-адреса зараженной системы.
...в ходе операции атакующие умудрились оставаться ′в
игре′ больше 5 лет, избегая детектирования со стороны большинства
антивирусных решений и, по нашей оценке, похитив к настоящему времени
сотни терабайт информации.
...нам удалось ′перехватить′ шесть из более чем 60
доменов, использованных в разных вариантах бэкдора. В ходе мониторинга в
период со 2 ноября 2012 по 10 января 2013 года мы зарегистрировали более
55 000 подключений к нашему sinkhole.
С точки зрения географического распространения этих подключений мы
установили 39 стран. Наибольшее количество IP-адресов было в Швейцарии.
Казахстан и Греция на втором и третьем местах.
securelist