28 Сентября 2011 18:09 28 Сен 2011 18:09 |

Поделиться

Госучреждения и дипломатические миссии России под вирусной атакой

Компьютеры российских госучреждений, в том числе дипломатических миссий и научно-исследовательских центров подверглись массированной направленной атаке. Об этом свидетельствует японо-американский антивирусный разработчик Trend Micro.

Согласно опубликованному Trend Micro отчету, исследователи компании обнаружили ботсеть, включающую более 1400 компьютеров в России и странах СНГ. Эксперты сумели найти и взломать управляющие серверы бот-сети, получив список IP-адресов зараженных ПК.

Исследователи установили, что атаке подверглись компьютеры в странах бывшего СНГ: в июне 2011 г. было заражено более 1000 компьютеров в России. Кроме того заражение было отмечено на ПК из Белоруссии, Казахстана, Киргизии, Узбекистана и Украины. В меньшей степени заражению подверглись компьютеры из Вьетнама, Индии, Китая и Монголии.

В Trend Micro заявляют, что концентрация зараженных ПК одной ботсети в одном географическом регионе напрямую указывает на цель атаки. Исследователи в своем отчете пишут, что установили принадлежность зараженных компьютеров. По их словам, среди них были «известные дипломатические организации, агентства по исследованию космоса и научно-исследовательские учреждения».

Точного списка пострадавших организаций Trend Micro не публикует. Однако, исследователи заявляют, что в некоторых случаях целью атаки было похищение «документов и электронных таблиц» на зараженных ПК.

Географическая концентрация сети Lurid Downloader (фрагмент лога)

Источник: Trend Micro

Атака была осуществлена с помощью трояна Lurid Downloader, также известного как Enfal. Это программа из «хорошо известного, но не общедоступного семества», сообщает Trend Micro. В прошлом вредоносные трояны этого семейства были использованы для атак на компьютеры госучреждений США. Несмотря на это, в Trend Micro не утверждают, что атака на российские и американские учреждения осуществлялась одной и той же группой хакеров.

В Trend Micro не уточняют, кто стоял за этой серией атак.

Заражение этим видом программ, как правило, происходит через электронную почту, когда пользователь открывает вложенный файл, содержащий вредоносный код. Код обычно содержится в .doc и PDF-файлах и эксплуатирует уязвимости в Microsoft Office и Adobe Reader.

Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев рассказал CNews, что описанная Trend Micro атака имела место в действительности. Он говорит, что речь идет не об одной, а о целой серии (как минимум нескольких десятках) атак, совершенных с марта по сентябрь 2011 г.

Гостев относит описанную Trend Micro атаку к классу APT (Advanced Persistent Threat, массированная устойчивая угроза), атак, при которых затруднительно установить канал компрометации, поскольку злоумышленник осуществляет на протяжении долгого времени, используя различные виды уязвимостей.

Эксперт говорит, что на протяжении последних нескольких лет публично известные APT-атаки были зафиксированы исключительно в отношении американских, европейских, а также азиатских компаний, военных организаций и исследовательских институтов.

Однако, по мнению Гостева, отсутствие известных APT-инцидентов в отношении аналогичных организаций в странах бывшего СССР, обусловлено не их реальным отсутствием, а отсутствием практики и опыта их обнаружения. Единственным широко известным инцидентом (до Lurid) являлась операция NightDragon, в ходе которой были атакованы нефтяные компании в Казахстане.

В ходе анализа известных APT-инцидентов «Лаборатория Касперского» выделила отличительные черты, способные помочь проактивному определению возможных целей APT-атак в странах СНГ, в первую очередь России и Казахстане.

В «Лаборатории» называют несколько видов таких целей. Это компании добывающего сектора, занимающиеся добычей газа и нефти, либо имеющие торговые отношения (поставки энергоносителей) c Китаем, либо интересующиеся добычей минерального топлива в Южно-Китайском море, либо имеющие представительства или партнерские отношения в Вьетнаме, Тайване.

В группу риска входят также компании энергетического сектора, имеющие поставки в Китай или Корею; машиностроительные компании, занимающиеся производством турбин, генераторов, использующихся в энергетике, перерабатывающие и обогатительные предприятия, работающие с редкоземельными и радиоактивными материалами, и имеющие коммерческие интересы в Китае, Вьетнаме, на Тайване и Корее; организации занимающиеся строительством промышленных объектов (заводов, фабрик, электростанций) в Китае и Индии; металлургические предприятия, имеющие торговые отношения с Китаем и Индией.

Цели атак Lurid Downloader

Источник:Trend Micro

Владислав Мещеряков

Поделиться

Короткая ссылка