Специалисты «Лаборатории Касперского» обнаружили ранее неизвестное мощное кибероружие, воровавшее, как удалось выяснить, огромные объемы данных у дипломатических и других ведомств в республиках бывшего СССР, а также в странах Восточной Европы и Центральной Азии еще с 2007 года.

Российская компания в последние два года стала известна своими разоблачениями орудий кибервойны, и похоже, что «Красный октябрь» стал очередным успехом «Лаборатории» в этом отношении.

Выбор названия («Охота за Красным Октябрем» — так назывался вышедший в 1984 году, во времена правления Рональда Рейгана, роман Тома Клэнси о советской подводной лодке) становится понятным, если прочитать отчет об исследовании, опубликованный «Лабораторией».

Во-первых, Red October является модульным (общее число его компонентов — 30) и весьма сложным по архитектуре (1000 файлов со 115 датами создания, охватывающими период в два года с небольшим). Кроме того, он ориентирован на многие операционные среды (несколько мобильных платформ, помимо ПК) и имеет управляющую сеть, которая охватывала 60 доменов. Все это явно указывает на то, что Red October скорее киберорудие, а не просто криминальное.

Будучи небольшим по численности пораженных им жертв, Red October избегал обнаружения по крайней мере с 2007 года, причем ему не просто повезло — код системы не был позаимствован из «коммерческих» вредоносных программ, иначе бы антивирусы уже давно его обнаружили.

О целях «Красного Октября», пожалуй, лучше всего можно судить по информации, которую он пытался красть: это обширный список типов файлов, в том числе файлы системы шифрования Acid Cryptofilter, которая, по сведениям «Лаборатории», «применяется в некоторых структурах НАТО и Евросоюза» лишь с недавнего времени. Когда вирусу удавалось похитить верительные данные, он их использовал для последующих атак.

«Красный Октябрь» проникал в системы к своим жертвам с помощью фишинга, совершаемого по электронной почте и использовавшего уязвимости Microsoft Office, в частности в Excel.

В коде вируса есть кое-какие признаки спешки. Например, для одной из уязвимостей операторы Red October воспользовались кодом известного эксплойта китайского происхождения, тем самым пойдя на риск раскрытия. Это явно не в стиле разведчиков старой школы.

Что касается свидетельств сложности вируса помимо его обширной инфраструктуры, то Red October использовал довольно необычные методы, например режим восстановления контроля: вирус ожидает открытия специально подготовленного документа Office или PDF и выполняет содержащиеся в нем команды. Этот механизм односторонней связи предусмотрен на случай отключения управляющих серверов, полагают в «Лаборатории».

Кто же может стоять за Red October и с какими намерениями?

В «Лаборатории» делают ряд намеков, начиная с названия вируса в базе данных компании — Backdoor.Win32.Sputnik и его прозвища. Эксперты компании также пишут, что, судя по многочисленным свидетельствам, оставленным в файлах, есть основания предполагать, что создатели вируса — русскоязычные специалисты.

Таким образом, круг подозреваемых сужается. Кто бы ни был автором вредоносной системы, он рассчитывал долгосрочно следить за правительственными и военными ведомствами в странах, когда-то бывших союзниками России, а также за их новыми друзьями во всем мире.

«В связи с Red October неизбежно напрашивается вопрос — а какие еще неизвестные орудия кибервойны втайне ведут свою деятельность?» — рассуждает Джарно Лимнелл из финской компании по информационной безопасности Stonesoft.

Судя по Red October, можно оценить масштаб разведывательной деятельности в киберпространстве. «Это уже напоминает шпионские страсти времен «холодной войны», — полагает Лимнелл. — Перед нами сложнейший вирус, который незамеченным преодолел системы безопасности и затем тайно работал, отправляя своим операторам всевозможные собранные сведения. Киберпространство уже стало новой зоной боевых действий, и правительствам, негосударственным организациям, коммерческим компаниям пора понять, что атаки вроде Red October — это уже фактически норма. Что касается кибершпионажа — им занимаются все. Просто кому-то это удается лучше, кому-то хуже».

Кибервооружение, или системы сбора информации, используемые в политических целях, обладают колоссальной мощью. Они способны отследить всю замысловатую паутину взаимоотношений между странами, что невозможно было бы сделать с помощью только поверхностного наблюдения. Биты и байты проникают повсюду, куда направляются потоки денег и товаров, и везде, где сосредоточена власть. Кибершпионы абсолютно бесстрастны. Друг моего врага — мой враг. Но все не так просто — он еще и мой экономический партнер. Так что лучше приглядывать за ними всеми, ведь и они столь же скрупулезно следят за вами.

Поделитесь материалом с коллегами и друзьями