Хакеры 5 лет крали информацию у белорусских организаций

Виталий Ругайн, "Еврорадио"

Судя по отчету "Лаборатории Касперского", под атаку попали государственные организации и научные институты, занимающиеся торговлей, энергетикой и нефтью.

"Лаборатория Касперского" опубликовала отчет по операции международного кибершпионажа "Красный октябрь". Под атаку попали несколько организаций в Беларуси. Что украли злоумышленники и каким образом? Об этом Еврорадио разговаривает с Виталием Камлюком, ведущим антивирусным экспертом "Лаборатории Касперского".

Виталий Камлюк: "Фактически была раскрыта сеть международного кибершпионажа — довольно большая, действующая на протяжении 5 лет. Это минимальный срок, который нам удалось оценить. Заражения были в основном в странах Восточной Европы, в том числе в Беларуси".

Еврорадио: Кто конкретно был заражен в Беларуси?

Виталий Камлюк: "К сожалению, мы не можем раскрывать подобной информации, какие конкретно организации были заражены. Но можно сказать о категориях жертв в Беларуси — речь идет о научно-исследовательских институтах на территории Беларуси и государственных структурах. Речь не идет о министерствах — именно о научных институтах и организациях из области торговли.

Хакеры 5 лет крали информацию у белорусских организаций

По всему миру в большинстве случаев были заражены посольства и различные дипломатические ведомства. Информация касалась разведки, секретных документов, которые могли бы быть потом использованы.

На втором месте идут научно-исследовательские институты, научные разработки, которые представляют интересы в масштабе государства и государственную тайну".

Хакеры 5 лет крали информацию у белорусских организаций

Еврорадио: Как удалось обнаружить заражения в Беларуси?

Виталий Камлюк: "Мы конкретно под Беларусь не разрабатывали специальных подходов. У нас было два источника информации. KSN (сеть безопасности Касперского) позволяет нам видеть, где были удалены вредоносные компоненты нашими продуктами. Эту статистику мы получаем, и благодаря ей увидели более 300 зараженных машин по всему миру. Второй источник — sinkhole-сервер. Это сервер, на который мы смогли перенаправить часть украденной информации. Мы заменили IP-адрес вредоносного домена на адрес нашего сервера".

Еврорадио: Как это все происходило, можно ли по-простому объяснить? Жертвы атак знали об этом?

Виталий Камлюк: "Это могло происходить без ведома жертвы. Как это работает: есть вредоносная программа, которая похищает документы. В нее встроен адрес сервера управления, куда эта программа подключается и передает украденные документы. Этот адрес — фактически доменное имя, как имя сайта. За ним находится IP-адрес сервера в интернете. Пока операция проходила под контролем злоумышленников, этот адрес был привязан к серверу злоумышленников. Мы же в сотрудничестве с регистраторами, которые это доменное имя создали, смогли заменить адрес злоумышленников на адрес сервера нашей лаборатории. И так смогли наблюдать за зараженными машинами. Организации, которые были заражены, скорее всего, не знали об этом и даже не заметили разницы, когда мы перенаправили домен на свой сервер. Зато мы смогли их посчитать, оценить географию, масштабы, частоту обращений и объемы данных".

Хакеры 5 лет крали информацию у белорусских организаций

Еврорадио: А самим зараженным вы сообщали?

Виталий Камлюк: "Когда жертв немного, мы сообщаем; но если жертв много, то мы обращаемся к национальным CERT (центрам безопасности в интернете), и они информируют жертв. В данном случае мы этим и воспользовались".

Еврорадио: Вы обращались в белорусский ОАЦ (Оперативно-аналитический центр)?

Виталий Камлюк: "Да. На базе ОАЦ, как я понимаю, совсем недавно появилась группа быстрого реагирования компьютерных угроз. Такие группы есть фактически в каждой цивилизованной стране. Как правило, некоммерческая организация, которая содержится на деньги государства. Мы ранее обращались к таким группам в других странах. Мы обратились в ОАЦ, чтобы они идентифицировали и подтвердили заражение. Потому что мы видим зараженный компьютер, но кто знает — может, это исследователь компьютерных угроз или какая-то антивирусная лаборатория на территории Беларуси работает. Мы обратились, чтобы уведомить жертву и подтвердить, что это настоящая жертва".

Еврорадио: Как можно было заразиться?

Виталий Камлюк: "Сценарий такой: атакующие не случайно выбирали жертву. Они знали, за кем идут. Они изучали веб-сайты жертв, искали там e-mail адреса. Дальше пытались обратиться к сотрудникам этой организации через e-mail. Им на почту присылали сообщение, в котором был документ. То, что мы видели, это документы Microsoft Office — файлы Word или Excel. Дальше надо было спровоцировать жертву на открытие этого документа. Для этого составлялся текст сообщения в письме, который подталкивал жертву к открытию документа. При открытии файла срабатывала уязвимость в офисном пакете. Эта были ранее известные уязвимости 2009, 2011 и 2012 годов. После этого происходит заражение компьютера вредоносным кодом, который был включен в состав документа. Этот код обращался к серверам и загружал дополнительные модули, которые уже собирали информацию с системы".

Еврорадио: А что было в текстах писем?

Виталий Камлюк: "Для каждой жертвы составлялся свой текст, на языке жертвы. Документ как-то соотносился с работой организации. Например, письмо было отправлено в одно из посольств. В документе содержалось фото автомобиля, который предлагалось купить. Посольство как раз находилось в поиске автомобиля для служебных нужд. Видимо, атакующие об этом узнали. В нашем отчете можно найти имена файлов, которые отсылались".

Хакеры 5 лет крали информацию у белорусских организаций

Примеры файлов, которые прикрепляли к письмам:

Хакеры 5 лет крали информацию у белорусских организаций

Хакеры 5 лет крали информацию у белорусских организаций

Еврорадио: Какие файлы интересовали атакующих?

Виталий Камлюк: "В целом информация, которая собиралась, включала не только файлы. Было видно, что злоумышленники заинтересованы в информации, которая сохранилась в документах, — офисные документы, диаграммы, pdf, текстовые файлы. Особенно их интересовал ряд расширений файлов, которые относятся к разным зашифрованным документам. Например, ключи шифрования PGP. Еще оказалось любопытным расширение acid. По той информации, которую мы нашли в интернете, это, скорее всего, относится к секретному программному обеспечению, которое используется для шифрования документов в ряде организация ЕС и НАТО".

Еврорадио: Как давно были заражены компьютеры в Беларуси?

Виталий Камлюк: "Этой информации у нас нет. ОАЦ может это оценить, если внимательно проанализирует зараженные системы. Какие файлы были украдены из Беларуси, нам не известно. Злоумышленники работали более 5 лет, и у них было несколько доменов. Мы же перехватили только часть из них и наблюдали только несколько месяцев. По объему трафика мы смогли оценить, сколько информации было украдено по всему миру за 5 лет. По нашим оценкам речь идет о терабайтах документов. Но никакой специфики для белорусских организаций не было".

Еврорадио: Эту программу можно заметить самому?

Виталий Камлюк: "Модули, которые мы анализировали, сильно не скрывались в системе. Их можно было увидеть в диспетчере задач, они никак не защищались, банально можно было остановить процесс и вручную удалить".

Еврорадио: Как можно вычислить вирус сейчас?

Виталий Камлюк: "На момент публикации отчета атакующие были активны. Однако мы получаем уведомления, что все больше серверов, используемых для управления сетью, становятся недоступными. Какова причина? Либо они сворачивают операцию, либо это действия CERT и провайдеров разных стран, которые блокируют эти серверы".

Еврорадио: Как пользователю обнаружить заражение?

Виталий Камлюк: "Если вы не технический специалист, то проще всего поставить антивирус и просканировать свой жесткий диск. Но обычным пользователям домашних компьютеров не стоит опасаться, если они не имеют отношения к каким-то определенным организациям. В целом, по нашим оценкам, по всему миру было заражено не много сетей. Мы говорим всего лишь о тысячи адресов, и это были организации, а не домашние компьютеры. Если сравнивать с международным кибер-криминалом, то там речь идет о сотнях тысяч заражений. Тут же были целевые атаки".

Еврорадио: Я читал предположения, что эта атака — источник информации для WikiLeaks?

Виталий Камлюк: "Лично моя позиция, что вряд ли это для WikiLeaks. Если бы это было так, то список жертв включал бы военные организации. Вряд ли научные институты заинтересовали бы активистов, поддерживающих WikiLeaks. И если бы это были они, то часть этих документов уже бы опубликовали на протяжении 5 лет".

Еврорадио: А кто это может быть?

Виталий Камлюк: "Мы стараемся опираться на факты, которые увидели в коде. Документы, рассылаемые по почте, имеют китайское происхождение. Те самые Excel- и Word-файлы мы раньше видели в атаках китайских хакерских групп против ряда азиатских бизнесов и тибетских активистов, например. Однако в тех атаках использовался и китайский вредоносный код.

Тут же мы видим китайские документы, но другой вредоносный код. Что касается самого кода, то внутренний язык — английский, но явно не от человека, который с рождения говорит на этом языке. Мы видели опечатки и грамматические ошибки. Иногда видели, когда вместо английских слов использовались русские слова, написанные латинскими буквами. Например, "zakladka". Каждый модуль вел бортовой журнал своей работы, он помечал, что модуль начинает работать, и начало журнала помечалось "proga start". "Прога", кроме русского сленга, нигде не используется. Мы практически уверены, что разработчики говорят на русском. Но неизвестно, из какой они страны".

Жертвы обнаруженные через sinkhole-сервер

Хакеры 5 лет крали информацию у белорусских организаций

поделиться

Новости по теме

Новости партнёров