Czerwony Październik atakuje od pięciu lat
Firma Kaspersky Lab opublikowała raport, w którym donosi o odkryciu ogólnoświatowej operacji szpiegowskiej, w ramach której zarażono komputery w kilkudziesięciu krajach świata. Złośliwe oprogramowanie kradnie dane z maszyn podłączonych do sieci rządowych, dyplomatycznych, instytucji naukowych, firm i instytucji związanych z energią jądrową, wydobyciem ropy naftowej i gazu, wojskiem, przemysłem kosmicznym i lotniczym oraz handlem.
Eksperci odkryli, że Operation Red October prowadzona jest co najmniej od 2007 roku. Prawdopodobnie ilość ukradzionych danych można liczyć już w terabajtach.
Obecnie wiadomo, że przestępcy wykorzystują ponad 1000 różnych modułów, dzięki którym mogą skonfigurować atak pod kątem konkretnego celu. Szkodliwy kod może atakować wybrane pecety, jak i urządzenia sieciowe Cisco czy smartfony Apple'a i Nokii oraz system Windows Mobile. Wykorzystuje też złożoną sieć serwerów kontrolnych, dzięki której cyberprzestępcy ukrywają swoją tożsamość. Ukradzione dane przesyłane są na jeden z licznych sewerów, skąd trafiają na serwer z hierarchicznie wyższej grupy. Prawdopodobnie dopiero stamtąd są wysyłane na właściwy serwer. Specjaliści porównują zaawansowanie technik wykorzystanych do ukrycia tożsamości atakujących z możliwościami robaka Flame, który został stworzony przez USA i Izrael do zaatakowania Iranu.
Red October korzysta z rozszerzeń dla Adobe Readera i Worda, dzięki czemu przestępcy mogą odzyskać kontrolę nad zainfekowaną maszyną, nawet jeśli samo szkodliwe oprogramowanie zostanie z niej usunięte. Wiadomo, że dotychczas podczas infekcji wykorzystano luki w pakiecie MS Office.
Każda zainfekowana maszyna otrzymuje swój unikatowy numer identyfikacyjny, dzięki której przestępcy mogą precyzyjnie przeprowadzać atak i dostosować swoje działania do celu, który chcą osiągnąć.
Badacze wciąż nie wiedzą, kto stoi za atakiem. Prawdopodobnie macierzystym językiem napastników jest rosyjski. Wiadomo, że część kodu została stworzona przez osoby posługujące się chińskim.
Obecnie nie ma żadnych dowodów, by wiązać atak z działaniem jakiegoś państwa, ale stoień zaawansowania technik ataku można porównać do znanych złożonych ataków dokonywanych przez rządy.
Najwięcej infekcji zanotowano w Rosji, Kazachstanie, Azerbejdżanie, Belgii i Indiach. Ofiarami przestępców padły też m.in. Afganistan, Iran, USA, Grecja, Pakistan, Maroko czy Uganda.
Komentarze (5)
mnichv10, 15 stycznia 2013, 11:12
Obstawiam Chiny. Kto da więcej?!
Piotrek, 15 stycznia 2013, 12:34
To prawie pewne, że Chiny. Każde państwo korzysta z inżynierii wstecznej czy szpiegostwa nic nadzwyczajnego. USA też kradło i kradnie na potęgę. Pierwsze z brzegu...rakiety dalekiego zasięgu mają od III Rzeszy a słynne F15 od ruskich bo pilot Miga25 uciekł do Japonii. A dawno dawno temu cały świat zrzynał od Chin technologię bo byliśmy przysłowiowo daleko za murzynami. Postanowili "chłopcy" zrehabilitować się
WormFrizzer, 15 stycznia 2013, 17:24
"rakiety dalekiego zasięgu mają od III Rzeszy"
Owszem, ale nie zostały one 'ukradzione' w 'zwyczajny', szpiegowski sposób, ale poprzez operacje Spinacz (Papeclip), gdzie przechwycili i nawiazali współprace z naziwstowskimi naukowcami, którzy też poźniej pomagali w załorzeniu N.A.S.A., jak i wielu innych tajnych badań/operacji.
taki offtop wybaczcie, ale zawsze mnie to fascynowało ;d
rahl, 23 stycznia 2013, 18:17
USA ma swój Echelon to ruscy (bądź chińczycy) mają Red October.
Tolo, 25 stycznia 2013, 00:38
Nie wiem czy czerwony październik nie jest nazwą zbyt sugerująca pochodzenie skoro nie wiadomo skąd jest.
To może być zewsząd. Od USA przez Rosie po Iran i Wenezuele czy Chiny.
A wykonawca wcale nie musi byc finalnym odbiorca lub tych drugich moze być więcej tak jako odbiorców wirusa jako produktu jak i jako danych z niego pochodzących. Co więcej różne dziury mogły być kupione na rynku nawet we wrogim państwie..
To co łączy ms office Adobe Windows Mobile Apple Nokie Cisco ze bezpośrednio lub przez powiązania są "made in usa".
Pozostaje jeszcze jedna kwestia do przetworzenia takiej ilości danych trzeba nie lichej infrastruktury i nie mam na myśli serwerów bo to problem czysto techniczny a różne reguły wnioskowania i tak dalej nikt nie będzie ręcznie tego przegadał.Szczególnie ze do takich danych mogacych być wróznych formatach czy kodowaniach potrzeba by pewnej ilości "pluginów".