"Лаборатория Касперского" выявила сеть кибершпионажа в 31 стране

21.02.2014

Kaspersky_logo_small (1).jpgЭксперты «Лаборатории Касперского» выявили глобальную сеть кибершпионажа «Маска», которая действует как минимум с 2007 года, говорится в сообщении компании.

Как передает IT Expert, эксперты полагают, что действия злоумышленников в первую очередь были направлены на государственные организации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации и политических активистов. По подсчетам компании, таргетированной атаке подверглись 380 жертв из 31 страны мира.

Кибершпионскую сеть выделяет сложность арсенала атакующих, который включает в себя ряд изощренных вредоносных программ, разработанных для различных платформ, включая Mac OS X, Linux и, возможно, iOS, отмечают эксперты. Главной целью атакующих был сбор информации из зараженных систем, включая различные документы, ключи шифрования, настройки VPN, применяемые для идентификации пользователя на сервере, SSH-ключи, а также файлы, используемые программами для обеспечения удаленного доступа к компьютеру.

«Несколько причин заставляют нас думать, что это может быть кампанией, обеспеченной государственной поддержкой. Прежде всего, мы наблюдаем крайне высокий уровень профессионализма в действиях группы, которая обеспечивает мониторинг собственной инфраструктуры, скрывает себя с помощью правил системы разграничения доступа, начисто стирает содержимое журнальных файлов вместо обычного их удаления, а также при необходимости прекращает всякие действия», — считает Костин Райю, руководитель глобального исследовательского центра «Лаборатории Касперского».

По его словам, такой уровень самозащиты нетипичен для киберпреступников, и возможно, что это самая сложная угроза такого класса на данный момент.

Вредоносное программное обеспечение (ПО) перехватывает все коммуникационные каналы и собирает наиболее важную информацию с компьютера пользователя. Обнаружение заражения чрезвычайно сложно из-за доступных в рутките механизмов скрытия и имеющихся дополнительных модулей кибершпионажа. В дополнение к встроенным функциям, злоумышленники могли закачивать на зараженный компьютер модули, позволяющие выполнить набор любых вредоносных действий.

Исследование «Лаборатории Касперского выявило, что для авторов этих программ испанский является родным языком, чего ранее не наблюдалось в атаках подобного уровня. Анализ показал, что операция «Маска» активно велась на протяжении пяти лет до января 2014 года (а некоторые образцы вредоносного ПО имели дату сборки 2007 года) — во время проведения исследования управляющие серверы злоумышленников были свернуты.

Согласно сообщению, заражение пользователей происходило через рассылку фишинговых писем, содержащих ссылки на вредоносные ресурсы. На этих сайтах располагался ряд эксплойтов, которые в зависимости от конфигурации системы посетителя, использовали различные способы атаки его компьютера. В случае успешной попытки заражения, вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме — это мог быть YouTube или новостной портал.

Эксперты отмечают, что сами вредоносные сайты не заражали посетителей автоматически в случае прямого обращения по одному только доменному имени. Злоумышленники хранили эксплойты в отдельных каталогах, ссылки на которые присутствовали только в письмах, — проходя именно по ним, пользователь подвергался атаке. Иногда на этих сайтах злоумышленники использовали поддомены, чтобы полные адреса выглядели более правдоподобными. Эти поддомены имитировали разделы популярных испанских газет, а также несколько международных — The Guardain и Washington Post.



Источник:  http://itexpert.org.ua/

Возврат к списку