Российские специалисты по компьютерной безопасности объявили об обнаружении опасного компьютерного вируса Red October, с помощью которого хакеры с 2007 года имели возможность похищать из компьютеров секретную информацию.
Исследователи из "Лаборатории Касперского" утверждают, что вирус был нацелен на компьютерные системы многих правительственных учреждений, включая посольства, ядерные исследовательские центры и предприятия нефтяной и газовой промышленности.
Программа должна была похищать зашифрованные файлы и даже могла восстанавливать информацию, стертую с жесткого диска.
Как отметил один эксперт, профессор Суррейского университета Алан Вудворд, размах атаки был "весьма значительным".
"Главной мишенью этой хакерской кампании были страны Восточной Европы, бывшие советские республики и страны Центральной Азии, хотя ее жертвы могли находиться и в любом другом месте, включая Западную Европу и Северную Америку, - говорится в официальном заявлении "Лаборатории Касперского". - Злоумышленники собирали секретную информацию, в том числе разведданные геополитического значения, коды доступа к закрытым компьютерным системам, а также данные личных устройств мобильной связи и сетевого оборудования".
"Вирус был обнаружен в октябре прошлого года, - рассказал ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк. - Мы начали проверку и быстро поняли, что имеем дело с массированной кибератакой. Число жертв было весьма ограничено, и все они были тщательно отобраны. Все они были связаны с очень серьезными организациями".
Вирусная программа Red October ("Красный Октябрь"), названная в честь вымышленной советской подводной лодки из шпионского романа Тома Клэнси, очень напоминает нашумевшую кибератаку Flame.
Она также имеет модульную структуру, где каждый из модулей наделен своей функцией.
Вирус внедрялся в компьютеры с 2007 года. Хакеры создали более 60 доменов, находившихся преимущественно в России и Германии, откуда инициировалось заражение. Главной целью были файлы, зашифрованные с помощью техники Cryptofiler, которая используется такими оргнаизациями, как НАТО и ЕС.
Red October, в отличие от вируса Stuxnet, судя по всему, не причинял физического ущерба инфраструктуре: в его задачу входил исключительно сбор информации.
Другие модули предназначались для атак на файлы, закодированные с помощью системы Cryptofiler, которой раньше активно пользовались разведслужбы.
Хотя сегодня Cryptofiler больше не применяется для кодировки особо секретных файлов, этой программой по-прежнему пользуются такие организации, как, например, НАТО для защиты конфиденциальной информации, которая может представлять интерес для хакеров.
По словам профессора Вудварда, тот факт, что Red October был нацелен на программы, зашифрованные с помощью Cryptofiler, может свидетельствовать о том, что хакеры взломали этот код.
Как и в случае с любой хакерской атакой, эксперты догадываются, откуда она могла исходить, однако они же и предупреждают, что улики могли быть оставлены умышленно, чтобы сбить со следа.
По словам Виталия Камлюка, программный код изобилует англицизмами с русским налетом: "Нам часто попадается слово "proga" - это русское сленговое обозначение программы, которого нет ни в каком другом языке".
Но, как предупреждает профессор Вудвард, "в таинственном мире шпионажа этот может быть лишь ложный след, потому что здесь ничего нельзя принимать за чистую монету".
Подробный 100-страничный отчет об этой вредоносной программе "Касперский" планирует опубликовать на этой неделе.
"Один из модулей отвечает за восстановление файлов, стертых с USB-устройств, - поясняет Камлюк. - Он засекает момент подключения такого устройства и пытается восстановить файлы. Такого нам еще не приходилось наблюдать во вредоносных программах".
Другая уникальная особенность вируса Red October, по словам профессора Вудворда, заключается в том, что он может притвориться "убитым" в случае выявления.
"Если его находят, он прячется, - поясняет профессор. - А когда всем кажется, что опасность миновала, вы просто отправляете электронное послание и вирус пробуждается вновь".
Би-би-си
"Лаборатория Касперского" обнаружила шпионскую киберсеть
15 января 2013 08:05