Сеть получила название Operation Red October (сокращенно “Rocra”). Она действует как минимум с мая 2007 года, тщательно выбирая себе жертвы примерно из двух дюжин стран. Ее жертвы занимают должности в правительствах, на военной службе, в аэрокосмических отраслях, в исследовательских областях, в торговле и коммерции, в ядерной сфере, в нефтяной промышленности и в других подобных областях.
Исследователи не знают, кто стоит за этой кампанией. Хотя считается, что использованные в ее рамках эксплоиты созданы китайскими хакерами. В тоже время различные внедренные вредоносные модули, похоже, созданы русскими.
В настоящее время Лаборатория Касперского не может установить источник этой операции, т.к. он работает как минимум через два слоя прокси-серверов в России, Германии и Австрии. Другими словами, местоположение основного командного и управляющего сервера (названного "mothership" C&C) остается неизвестным.
Кто бы ни создал эту кампанию, ее операторы точно знают, что делают, ведь им удавалось тайно подсматривать за системами основных правительств и индустрий всего мира в течение шести лет. За это время для инфицирования целей посредством фишинговых схем они использовали как минимум два различных эксплоита в Microsoft Word и один в Excel. Взломав систему, атакующие собирали ценные данные, для чего использовали ряд постоянных и ряд разовых задач, проводимых через тысячи модулей (вредоносных файлов).
К примерам таких задач можно отнести кражу информации с USB-носителей (даже удаленных файлов), отслеживание и запись нажимаемых клавиш, снятие скриншотов, извлечение писем из Outlook и почтовых серверов, сбор информации о просмотрах в Сети и сохраненных паролей, сканирование сетей в попытках поиска потенциальных жертв и т.п. Помимо отсутствия точных сведений о создателях этой кампании, не ясно также и то, что они делали со всей добытой информацией. Возможно, они продают ее на черном рынке.
По данным Лаборатории Касперского, сейчас по всему миру обнаружено несколько сотен инфицированых компьютеров. Больше всего их в России, в Казахстане и в Азербайджане. Для контроля сети инфицированных машин атакующие создали более 60 доменных имен и несколько серверов в разных странах (в основном в Германии и в России). Инфраструктура контроля и управления в действительности является сетью серверов, работающих как прокси, и скрывающих местоположение основного командного сервера.
Также стоит отметить, что атакующие могут красть информацию и с мобильных платформ, включая Windows Mobile, iPhone и Nokia. Наконец, кампания все еще активна и все еще отсылает данные со своих жертв на свои командные серверы.
Комментарии (1)