«Лаборатория Касперского» обнаружила «кибершпионскую сеть»
Пять лет неизвестные хакеры крали информацию правительственных, дипломатических и военных организаций стран Восточной Европы с помощью киберсети, которую обнаружила «Лаборатория Касперского»Длящаяся по сей день шпионская кибероперация, которую специалисты «Лаборатории Касперского» назвали «Красный октябрь», началась не позднее мая 2007 г. и направлена против дипломатических и госструктур стран Восточной Европы, бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки. За пять лет атакующие заразили сотни компьютеров и мобильных устройств и похитили сотни терабайт информации, используя более 60 доменных имен, подсчитали аналитики лаборатории. По их данным, домены размещались на промежуточных серверах, преимущественно с российскими и германскими IP-адресами. Где размещен основной сервер, неизвестно.
Злоумышленников интересуют не только чиновники и дипломаты: компьютеры заражены и в научных, торговых, военных организациях, компаниях ядерной, нефтегазовой и аэрокосмической сферы. В основном заражения происходили через электронную почту, причем для каждой жертвы готовилось письмо на тему, способную заинтересовать именно владельца данного почтового аккаунта, говорит ведущий эксперт «Лаборатории Касперского» Виталий Камлюк. Например, это были объявления о продаже дипломатического автомобиля. Русские слова и жаргонизмы в тексте вирусных модулей позволяют предположить, что их код писали русскоязычные программисты, но выяснить принадлежность и цели хакеров экспертам «Лаборатории Касперского» не удалось.
За последние пять лет шпионские кибератаки эволюционировали от разрозненных атак, использующих конкретную уязвимость, до систем промышленного масштаба, говорит исполнительный директор Peak Systems Максим Эмм. Чтобы получить информацию, таргетированные атаки часто уже не требуются: нужные компьютеры (например, в госведомствах) инфицированы заранее, и доступ к ним продается владельцами ботнетов (сети из зараженных ПК), объясняет он.
Защититься от подобных атак можно с помощью одновременного использования технических средств, таких как установка антивирусных программ (знание того, каким антивирусом пользуется жертва, помогает атакующим остаться незамеченными), и организационных мер – запрета на открытие ссылок и вложений в письмах с неизвестных адресов, на использование одних и тех же внешних накопителей во внутренней и внешней сетях, говорит Камлюк. Вероятность взлома тем меньше, чем больше эшелонов имеет киберзащита организации: своевременно устанавливаются обновления программ, отсутствует ПО непроверенного происхождения, установлены антивирусные программы, наконец, компьютеры, содержащие секретную информацию, физически отделены от компьютеров, подключенных к интернету, добавляет Эмм.