Хакеры 5 лет крали информацию у белорусских организаций
Судя по отчету "Лаборатории Касперского", под атаку попали государственные организации и научные институты, занимающиеся торговлей, энергетикой и нефтью.
"Лаборатория Касперского" опубликовала отчет по операции международного кибершпионажа "Красный октябрь". Под атаку попали несколько организаций в Беларуси. Что украли злоумышленники и каким образом? Об этом Еврорадио разговаривает с Виталием Камлюком, ведущим антивирусным экспертом "Лаборатории Касперского".
Виталий Камлюк: "Фактически была раскрыта сеть международного кибершпионажа — довольно большая, действующая на протяжении 5 лет. Это минимальный срок, который нам удалось оценить. Заражения были в основном в странах Восточной Европы, в том числе в Беларуси".
Еврорадио: Кто конкретно был заражен в Беларуси?
Виталий Камлюк: "К сожалению, мы не можем раскрывать подобной информации, какие конкретно организации были заражены. Но можно сказать о категориях жертв в Беларуси — речь идет о научно-исследовательских институтах на территории Беларуси и государственных структурах. Речь не идет о министерствах — именно о научных институтах и организациях из области торговли.
По всему миру в большинстве случаев были заражены посольства и различные дипломатические ведомства. Информация касалась разведки, секретных документов, которые могли бы быть потом использованы.
На втором месте идут научно-исследовательские институты, научные разработки, которые представляют интересы в масштабе государства и государственную тайну".
Еврорадио: Как удалось обнаружить заражения в Беларуси?
Виталий Камлюк: "Мы конкретно под Беларусь не разрабатывали специальных подходов. У нас было два источника информации. KSN (сеть безопасности Касперского) позволяет нам видеть, где были удалены вредоносные компоненты нашими продуктами. Эту статистику мы получаем, и благодаря ей увидели более 300 зараженных машин по всему миру. Второй источник — sinkhole-сервер. Это сервер, на который мы смогли перенаправить часть украденной информации. Мы заменили IP-адрес вредоносного домена на адрес нашего сервера".
Еврорадио: Как это все происходило, можно ли по-простому объяснить? Жертвы атак знали об этом?
Виталий Камлюк: "Это могло происходить без ведома жертвы. Как это работает: есть вредоносная программа, которая похищает документы. В нее встроен адрес сервера управления, куда эта программа подключается и передает украденные документы. Этот адрес — фактически доменное имя, как имя сайта. За ним находится IP-адрес сервера в интернете. Пока операция проходила под контролем злоумышленников, этот адрес был привязан к серверу злоумышленников. Мы же в сотрудничестве с регистраторами, которые это доменное имя создали, смогли заменить адрес злоумышленников на адрес сервера нашей лаборатории. И так смогли наблюдать за зараженными машинами. Организации, которые были заражены, скорее всего, не знали об этом и даже не заметили разницы, когда мы перенаправили домен на свой сервер. Зато мы смогли их посчитать, оценить географию, масштабы, частоту обращений и объемы данных".
Еврорадио: А самим зараженным вы сообщали?
Виталий Камлюк: "Когда жертв немного, мы сообщаем; но если жертв много, то мы обращаемся к национальным CERT (центрам безопасности в интернете), и они информируют жертв. В данном случае мы этим и воспользовались".
Еврорадио: Вы обращались в белорусский ОАЦ (Оперативно-аналитический центр)?
Виталий Камлюк: "Да. На базе ОАЦ, как я понимаю, совсем недавно появилась группа быстрого реагирования компьютерных угроз. Такие группы есть фактически в каждой цивилизованной стране. Как правило, некоммерческая организация, которая содержится на деньги государства. Мы ранее обращались к таким группам в других странах. Мы обратились в ОАЦ, чтобы они идентифицировали и подтвердили заражение. Потому что мы видим зараженный компьютер, но кто знает — может, это исследователь компьютерных угроз или какая-то антивирусная лаборатория на территории Беларуси работает. Мы обратились, чтобы уведомить жертву и подтвердить, что это настоящая жертва".
Еврорадио: Как можно было заразиться?
Виталий Камлюк: "Сценарий такой: атакующие не случайно выбирали жертву. Они знали, за кем идут. Они изучали веб-сайты жертв, искали там e-mail адреса. Дальше пытались обратиться к сотрудникам этой организации через e-mail. Им на почту присылали сообщение, в котором был документ. То, что мы видели, это документы Microsoft Office — файлы Word или Excel. Дальше надо было спровоцировать жертву на открытие этого документа. Для этого составлялся текст сообщения в письме, который подталкивал жертву к открытию документа. При открытии файла срабатывала уязвимость в офисном пакете. Эта были ранее известные уязвимости 2009, 2011 и 2012 годов. После этого происходит заражение компьютера вредоносным кодом, который был включен в состав документа. Этот код обращался к серверам и загружал дополнительные модули, которые уже собирали информацию с системы".
Еврорадио: А что было в текстах писем?
Виталий Камлюк: "Для каждой жертвы составлялся свой текст, на языке жертвы. Документ как-то соотносился с работой организации. Например, письмо было отправлено в одно из посольств. В документе содержалось фото автомобиля, который предлагалось купить. Посольство как раз находилось в поиске автомобиля для служебных нужд. Видимо, атакующие об этом узнали. В нашем отчете можно найти имена файлов, которые отсылались".
Примеры файлов, которые прикрепляли к письмам:
Еврорадио: Какие файлы интересовали атакующих?
Виталий Камлюк: "В целом информация, которая собиралась, включала не только файлы. Было видно, что злоумышленники заинтересованы в информации, которая сохранилась в документах, — офисные документы, диаграммы, pdf, текстовые файлы. Особенно их интересовал ряд расширений файлов, которые относятся к разным зашифрованным документам. Например, ключи шифрования PGP. Еще оказалось любопытным расширение acid. По той информации, которую мы нашли в интернете, это, скорее всего, относиться к секретному программному обеспечению, которое используется для шифрования документов в ряде организация ЕС и НАТО".
Еврорадио: Как давно были заражены компьютеры в Беларуси?
Виталий Камлюк: "Этой информации у нас нет. ОАЦ может это оценить, если внимательно проанализирует зараженные системы. Какие файлы были украдены из Беларуси, нам не известно. Злоумышленники работали более 5 лет, и у них было несколько доменов. Мы же перехватили только часть из них и наблюдали только несколько месяцев. По объему трафика мы смогли оценить, сколько информации было украдено по всему миру за 5 лет. По нашим оценкам речь идет о терабайтах документов. Но никакой специфики для белорусских организаций не было".
Еврорадио: Эту программу можно заметить самому?
Виталий Камлюк: "Модули, которые мы анализировали, сильно не скрывались в системе. Их можно было увидеть в диспетчере задач, они никак не защищались, банально можно было остановить процесс и вручную удалить".
Еврорадио: Как можно вычислить вирус сейчас?
Виталий Камлюк: "На момент публикации отчета атакующие были активны. Однако мы получаем уведомления, что все больше серверов, используемых для управления сетью, становятся недоступными. Какова причина? Либо они сворачивают операцию, либо это действия CERT и провайдеров разных стран, которые блокируют эти серверы".
Еврорадио: Как пользователю обнаружить заражение?
Виталий Камлюк: "Если вы не технический специалист, то проще всего поставить антивирус и просканировать свой жесткий диск. Но обычным пользователям домашних компьютеров не стоит опасаться, если они не имеют отношения к каким-то определенным организациям. В целом, по нашим оценкам, по всему миру было заражено не много сетей. Мы говорим всего лишь о тысячи адресов, и это были организации, а не домашние компьютеры. Если сравнивать с международным кибер-криминалом, то там речь идет о сотнях тысяч заражений. Тут же были целевые атаки".
Еврорадио: Я читал предположения, что эта атака — источник информации для WikiLeaks?
Виталий Камлюк: "Лично моя позиция, что вряд ли это для WikiLeaks. Если бы это было так, то список жертв включал бы военные организации. Вряд ли научные институты заинтересовали бы активистов, поддерживающих WikiLeaks. И если бы это были они, то часть этих документов уже бы опубликовали на протяжении 5 лет".
Еврорадио: А кто это может быть?
Виталий Камлюк: "Мы стараемся опираться на факты, которые увидели в коде. Документы, рассылаемые по почте, имеют китайское происхождение. Те самые Excel- и Word-файлы мы раньше видели в атаках китайских хакерских групп против ряда азиатских бизнесов и тибетских активистов, например. Однако в тех атаках использовался и китайский вредоносный код.
Тут же мы видим китайские документы, но другой вредоносный код. Что касается самого кода, то внутренний язык — английский, но явно не от человека, который с рождения говорит на этом языке. Мы видели опечатки и грамматические ошибки. Иногда видели, когда вместо английских слов использовались русские слова, написанные латинскими буквами. Например, "zakladka". Каждый модуль вел бортовой журнал своей работы, он помечал, что модуль начинает работать, и начало журнала помечалось "proga start". "Прога", кроме русского сленга, нигде не используется. Мы практически уверены, что разработчики говорят на русском. Но неизвестно, с какой они страны".
Жертвы обнаруженные через sinkhole-сервер