Дом Securitywatch Как кампания «красных октябрьских» кибератак преуспела под радаром

Как кампания «красных октябрьских» кибератак преуспела под радаром

Видео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Ноябрь 2024)

Видео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Ноябрь 2024)
Anonim

«Лаборатория Касперского» выпустила первый из двухкомпонентного отчета «Красный Октябрь» - вредоносная атака, которая, по мнению компании, распространяется на правительственные системы высокого уровня по всей Европе и может быть специально нацелена на секретные документы. Согласно отчету, украденные данные имеют порядок «сотен терабайт» и оставались в основном незамеченными в течение примерно пяти лет.

Красный Октябрь, или «Рокр», получил свое название от месяца, в котором он был впервые обнаружен, и от титульной молчаливой русской подводной лодки, представленной автором Томом Клэнси. Вы можете узнать о Красном октябре и его истории на PC Mag.

Целенаправленные атаки

В докладе описывается «Красный Октябрь» как «основа», которую можно быстро обновить, чтобы воспользоваться слабостями своих жертв. Злоумышленники начали свою атаку с написания копий электронных писем или зараженных документов, предназначенных для обращения к их целям. После заражения злоумышленники собирают информацию о системе перед установкой определенных модулей для усиления вторжения. Kaspersky насчитал около 1000 таких уникальных файлов, попадающих в около 30 категорий модулей.

Это заметно иной подход, чем Flame или другое вредоносное вредоносное ПО. В отчете говорится: «между злоумышленниками и жертвой существует высокая степень взаимодействия. Операция определяется типом конфигурации жертвы, типом используемых документов, установленным программным обеспечением, родным языком и т. Д.».

«По сравнению с Flame и Gauss, которые являются высокоавтоматизированными кибершпионажными кампаниями, Rocra гораздо более« личный »и точно настроен для жертв», - пишет Касперский.

Злоумышленники были коварны и методичны, фактически меняя тактику использования украденной информации. «Информация, полученная из зараженных сетей, повторно используется в последующих атаках», - пишет Касперский. «Например, украденные учетные данные были собраны в списке и использованы, когда злоумышленникам нужно было угадать пароли и сетевые учетные данные в других местах».

Оставаться вне радара

Этот вид целенаправленной атаки не только позволил тем, кто стоит за «Красным октябрем», преследовать цели высокого уровня, но также помог оператору оставаться незамеченным в течение многих лет. «Сочетание высококвалифицированных, хорошо финансируемых злоумышленников и ограниченного распространения, как правило, означает, что вредоносное ПО может оставаться под радаром в течение значительного периода времени», - сказал старший исследователь Касперского Роэль Шувенберг в интервью SecurityWatch . «Кроме того, мы не видели использования каких-либо уязвимостей нулевого дня, что снова показывает, насколько важно исправление».

Шувенберг продолжил, сказав, что несколько уровней безопасности могут помочь в защите от подобных атак. Он сказал SecurityWatch : «Вот почему важна глубокая защита и такие подходы, как запрет по умолчанию, внесение в белый список и контроль приложений. Атаки могут быть остановлены даже без точного обнаружения».

Не обязательно работа наций

Несмотря на высокоуровневые цели, Касперский подчеркивает, что нет явной связи с спонсируемой государством атакой. В отчете говорится, что, хотя целевая информация может быть полезной для стран, «такая информация может быть продана в подполье и продана участнику, предложившему самую высокую цену, что, конечно, может быть где угодно».

Индивидуальные угрозы, такие как «Красный Октябрь», - это сценарий наихудшего случая, который заставляет людей безопасности в Пентагоне всю ночь быть на ногах. К счастью, специфика, которая сделала Red October успешной, также означает, что вряд ли она будет угрожать постоянным потребителям, таким как вы и я.

К сожалению, это не меняет того факта, что новый и мощный игрок работает за сценой в течение многих лет.

Чтобы узнать больше о Максе, следите за ним в Твиттере @wmaxeddy.

Как кампания «красных октябрьских» кибератак преуспела под радаром