Red October (кибершпионская операция)

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

«Red October» (рус. Красный Октябрь, в сокращении Rocra) — кибершпионская операция, проводившаяся для сбора секретных данных с устройств с помощью вредоносных программ. Началась как минимум в мае 2007 года. Она велась против государственных структур, дипломатических ведомств и научно-исследовательских организаций. В основном атаке подвергались конкретные организации из стран Восточной и Западной Европы, Центральной Азии, бывших стран Советского Союза и Северной Америки. Вполне возможно, организаторы атак «Red October» являются русскоязычными[1].

Схема атаки

[править | править код]

Заражение вредоносными программами происходит через рассылку документов с эксплойтами. При проникновении основного вредоносного модуля на устройство он скачивает ещё несколько модулей, среди них есть бэкдор[2]. Сбор данных проводится с помощью модулей, помечаемых Kaspersky как Backdoor.Win32.Sputnik. Он может проходить как на компьютерах и ноутбуках, так и на операционной системе Windows Mobile и на устройствах iPhone и Nokia. Модулями также может быть выполнен произвольный код. Обычно после заражения устройства с него несколько дней собирается информация, после чего устанавливаются дополнительные модули, которые распространяются по другим компьютерам в сети[1].

Извлечённая информация может являться[1][2]:

  • Нажатыми на клавиатуре клавишами и снимками экрана;
  • Паролями;
  • Историей посещений веб-страниц в браузерах;
  • Сообщениями и вложениями в Microsoft Outlook;
  • Файлами на USB-накопителях и локальных FTP-серверах;
  • Внешним IP-адресом устройства.

Для контроля заражённых систем были созданы более 60 доменов и несколько серверов, по большей части они были расположены в России и Германии[1].

В атаках «Red October» использовался ряд уязвимостей: уязвимость CVE-2011-3544 в Java[3], уязвимость CVE-2009-3129 начиная с 2010 года в Microsoft Excel и узявимости CVE-2010-3333 и CVE-2012-0158 в Microsoft Word начиная с лета 2012 года. Собранные данные могут использоваться в последующих атаках[1].

Примечания

[править | править код]
  1. 1 2 3 4 5 Операция ‘Red October’ — обширная сеть кибершпионажа против дипломатических и государственных структур. SecureList. Дата обращения: 15 октября 2021. Архивировано 15 октября 2021 года.
  2. 1 2 Cybersleuths Uncover 5-Year Spy Operation Targeting Governments, Others. WIRED. Дата обращения: 15 октября 2021. Архивировано 16 августа 2021 года.
  3. Red October relied on Java exploit to infect PCs. Ars Technica. Дата обращения: 15 октября 2021. Архивировано 15 октября 2021 года.