2012.gada oktobrīKaspersky Labeksperti sāka izmeklēt uzbrukumu sērijas starptautisko diplomātisko pārstāvniecību datortīkliem. Pētot šos incidentus, speciālisti atklāja plašu kiberspiegošanas tīklu. Pēc tā analīzesKaspersky Labeksperti secināja, ka operācija ar kodētu nosaukumu «Sarkanais oktobris» ir uzsākta jau 2007.gadā un turpinās joprojām.
Par kibernoziedznieku galveno mērķi ir kļuvušas diplomātiskās un valsts struktūras visā pasaulē, taču upuru vidū ir sastopami arī zinātniskās pētniecības institūti, enerģētikas, tostarp kodolenerģētikas, jomas uzņēmumi, kosmosa aģentūras, kā arī tirdzniecības firmas. «Sarkanā oktobra» radītāji ir izstrādājuši savas kaitīgās programmatūras, kam ir unikāla modulāra arhitektūra, kas ietver kaitīgus papildinājumus, informācijas zagšanai paredzētus moduļus.Kaspersky Labantivīrusu datubāzē šai kaitīgajai programmai dots nosaukums Backdoor.Win32.Sputnik.
Inficēto mašīnu tīkla kontrolei kibernoziedznieki izmantoja vairāk nekā 60 domēnu nosaukumu un visā pasaulē izvietotus serverus, turklāt ievērojama to daļa atradās Vācijas un Krievijas teritorijā.Kaspersky Labekspertu veiktā vadības serveru infrastruktūras analīze parādīja, ka ļaundari izmantoja veselu starpniekserveru ķēdi, lai noslēptu galvenā vadības servera atrašanās vietu.
No inficētajām sistēmām noziedznieki zaga informāciju, kas ietverta dažādu formātu datnēs. Citu vidū eksperti atklāja datnes ar paplašinājumu acid*, kas liecina par to piederību slepenajai programmatūraiAcid Cryptofiler, ko izmanto vairākas Eiropas Savienības organizācijas un NATO.
Sistēmas inficēšanai noziedznieki izmantoja pikšķerēšanas vēstules, kas bija adresētas noteiktiem saņēmējiem kādā organizācijā. Vēstules sastāvā bija ietverts īpašs trojietis, kura instalēšanai vēstules saturēja mūķus, kas izmantoMicrosoft Officeievainojamības. Šos mūķus ir izveidojuši citi hakeri, un tie agrāk ir izmantoti dažādos kiberuzbrukumos, kas vērsti gan pret Tibetas aktīvistiem, gan pret militāro un enerģētikas nozari vairākās Āzijas valstīs.
Lai noteiktu kiberspiegošanas upurus,Kaspersky Labeksperti analizēja datus, kas iegūti no diviem galvenajiem avotiem: mākoņpakalpojumaKaspersky Security Network(KSN) un inficēto mašīnu, kas mēģina sazināties ar vadības serveriem, uzraudzībai paredzētajiem sateknes (sinkhole) serveriem.
·KNS statistikas dati palīdzēja atklāt vairākus simtus unikālu inficētu datoru, no kuriem lielākā daļa piederēja vēstniecībām, konsulātiem, valsts organizācijām un zinātniskās pētniecības institūtiem. Ievērojama daļa inficēto sistēmu tika konstatēta Austrumeiropas valstīs.
·Sateknes (sinkhole) serveru dati tika iegūti no 2012.gada 2.novembra līdz 2013.gada 10.janvārim. Šajā periodā tika konstatēti vairāk nekā 55tūkstoši savienojumu no 250 inficētām IP adresēm, kas reģistrētas 39valstīs. Vairums savienojumu no inficētajām IP adresēm tika novēroti Šveicē, Kazahstānā un Grieķijā.
Kibernoziedznieki ir izveidojuši daudzfunkciju platformu uzbrukumu veikšanai, kas ietver vairākus desmitus papildinājumu un kaitīgo datņu, kuras spēj ātri pielāgoties dažādām sistēmas konfigurācijām un vākt konfidenciālu informāciju no inficētajiem datoriem.
Moduļu nozīmīgākās īpašības ir šādas.
·Atgūšanas modulis, kas ļauj noziedzniekiem «atdzīvināt» inficētās mašīnas. Modulis kā spraudnis tiek iebūvētsAdobe ReaderunMicrosoft Officeun nodrošina uzbrucējiem atkārtotu piekļuvi sistēmai, ja tiek atklāta un likvidēta galvenā kaitīgā programma vai atjaunināta sistēma.
·Uzlaboti kriptogrāfiskie spiegošanas moduļi, kas paredzēti informācijas zagšanai arī no dažādām šifrēšanas sistēmām, piemēram, noAcid Cryptofiler, kas kopš 2011.gada tiek izmantota informācijas aizsardzībai, piemēram, NATO, Eiropas Savienībā, Eiropas Parlamentā un Eiropas Komisijā.
·Iespēja inficēt mobilās ierīces: bez tradicionālās darbstaciju inficēšanas šī kaitīgā programmatūra spēj nozagt datus no mobilajām ierīcēm, tostarp viedtālruņiem (iPhone,NokiaunWindows Phone). Turklāt ļaundari varēja zagt ziņas par konfigurāciju no tīkla rūpnieciskajām iekārtām (maršrutētājiem, sadalietaisēm) un pat no ārējiem USB datu nesējiem izdzēstās datnes.
Vadības serveru reģistrācijas dati un kaitīgās programmatūras izpildāmajās datnēs ietvertā informācija ļauj pamatoti uzskatīt, ka kibernoziedzniekiem ir krievvalodīga izcelsme.
Kaspersky Labsadarbībā ar starptautiskajām organizācijām, tiesībaizsardzības iestādēm un valstu datortrauksmes reaģēšanas komandām (Computer Emergency Response Teams, CERT) turpina operācijas izmeklēšanu, nodrošinot tehnisko ekspertīzi un resursus informēšanai un pasākumiem inficēto sistēmu ārstēšanai.
Plašāka informācija ir pieejama tīmekļa vietnēhttp://www.securelist.com/en/analysis/204792262/Red_October_Diplomatic_Cyber_Attacks_Investigation.