Вредоносная симфония "Красного октября"

Вирусная компьютерная атака была разыграна, как по нотам: для каждого абонента-жертвы готовилась своя «партитура». Под удар оказались поставлены конфиденциальные сведения дипломатических миссий, исследовательских институтов, правительственных организаций. Специалисты «Лаборатории Касперского», заявившие о раскрытии международной вирусной сети под кодовым названием "Red October", уверяют, что поймали опасного «червя» если не за русский, то за русскоязычный хвост.

Вывод о том, кому нужно красть терабайты секретной и личной информации, экспертам еще предстоит сделать. Однако на настоящий момент уже ясно, кто стал целью. В интересах пострадавших от кибератак названия организаций не разглашаются, однако уровень угрозы вполне можно оценить по тому, какие цели были у «Красного октября»: дипломатические представительства по всему миру, научно-исследовательские институты, занимающиеся ядерной проблематикой, нефтью, энергетикой, правительственные структуры.

Основной же удар, как пояснил «Фонтанке» ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк, пришелся на страны бывшего СССР. То, что в структуре регионов, где были зафиксированы зараженные машины, есть отдаленные уголки Африки или Австралия, по его словам, вовсе не означает, что злоумышленников обязательно интересовали топ-секреты этих стран.

Уверенности в том, что над супершпионом работали именно русские разработчики, пока нет. Косвенно это подтверждается рядом факторов: доменные имена, с которых шли атаки, регистрировались через русских регистраторов, в качестве контактных данных оставлялись имена, похожие на русские, как редкое исключение - прибалтийские или украинские, почтовые физические и интернет-адреса также имели российскую «прописку». Впрочем, такая имитация возможна и без участия россиян.

Однако есть и другие основания для таких выводов. К примеру, при анализе кода было установлено, что есть подробный журнал работы вредоносной сети, из которого очевидно, что, несмотря на то, что рабочим языком является английский, для разработчиков и пользователей системы он не родной. В частности, есть откровенные пробелы в лексиконе, которые заменяются русскоязычным компьютерным сленгом вроде транслитерации характерного слова “proga” или “zakladka”. Также обнаружены явные ошибки и опечатки, которые носитель языка не совершил бы.

Главной же особенностью «Красного октября», как пояснил Виталий Камлюк, является его четкая таргетированность — ориентированность на определенный объект атаки. «Это скорее сотни, а не тысячи пострадавших», - пояснил эксперт. На настоящий момент установлено порядка 300 адресов и организаций, зараженных за пять лет существования «Красного октября». Объемы похищенной информации исчисляются терабайтами. Было достаточно одного открытого файла, полученного в результате фишинговых атак, и программа моментально начинала сканировать все доступные компьютеры в сети, выкачивая интересующие сведения. Опять же таргетирование оказывалось в буквальном смысле этого слова персональным. Письма отправлялись на языке пользователя и содержали специально подобранную информацию, которая могла бы заинтересовать конкретного адресата. Так, среди примеров «Лаборатория Касперского» приводит файл, содержащий предложение приобрести автомобиль, стоявший на службе в неком дипведомстве. По функциональности эксперты при анализе файлов выделили до 30 групп. Только начало работы по «Красному октябрю» дало возможность объединить их, так как четкую структуру проследить было весьма сложно в силу ее персонифицированности.

Пять лет работы вредоносной сети, естественно, наложили ряд ограничений на изымаемую информацию. Круг расширений, которые интересовали кибер-преступников, был очерчен, хотя и разнообразен, и включал в себя также и формат *acid, который используется для хранения секретной информации в структурах Евросоюза и НАТО.

«Червь» также весьма избирательно подходил и к размерам копируемых файлов: его интересовали в основном документы "весом" в 3 - 5 мегабайт, созданные не более месяца назад, дубликаты умная программа также отсеивала. В то же самое время возможности были настолько обширны, что позволяли закрепляться не только в стационарных компьютерах, но и в подключаемых к ним мобильных устройствах. Отдельно был прописан вредоносный код, работавший со смартфонами. Кроме этого была предусмотрена возможность восстановления удаленных файлов с флеш-карт и их копирование.

Предварительный анализ говорит о том, что информация, которая представляет интерес для «Красного октября», скорее всего, касается глобальных вопросов геополитики.

Пока эксперты не могут с уверенностью говорить, что «Красный октябрь» работал в интересах какого-то конкретного государства, однако уже в ближайшее время будет опубликован окончательный отчет по результатам анализа полученных данных. В компании «Лаборатория Касперского» в ближайшее время обещают опубликовать вторую часть отчета по «Красному октябрю», раскрывающую техническую составляющую действия сети кибершпионажа.

Ксения Потеева, "Фонтанка.ру"