П'ять років невідомі кіберзлочинці шпигують за урядовими організаціями по всьому світу.

"Лабораторія Касперського" оголосила про виявлення масштабної киберпреступной угруповання, яке протягом останніх п'яти років шпигує за дипломатичними, урядовими та науковими організаціями по всьому світу. Як йдеться в повідомленні компанії, основними цілями зловмисників є комп'ютерні системи та корпоративні мережі, розташовані на території Росії і країн колишнього СРСР та Східної Європи. Також в список країн-жертв хакерів увійшли США, Греція, Італія, Швейцарія, ЭАЭ і Уганда.

Розслідування атак на комп'ютерні мережі міжнародних дипломатичних представництв експерти "Лабораторії" розпочали у жовтні минулого року на замовлення свого партнера, який "воліє залишатися анонімним". Як виявилося, метою злочинців стали не тільки дипломатичні та урядові структури по всьому світу, але і компанії, що займаються питаннями енергетики, в тому числі ядерної, космічні агентства, науково-дослідні інститути.

В операції під кодовою назвою"Червоний жовтень", яка почалася ще в 2007 р. і триває досі, кіберзлочинці використовували унікальну модульну архітектуру, що складається з шкідливих розширень. В антивірусній базі "Лабораторії Касперського" вона має назву Backdoor.Win32.Sputnik.

"Для зараження систем злочинці розсилали фішингові листи, адресовані конкретним одержувачам в тій чи іншій організації. До складу листи входила спеціальна троянська програма, для встановлення якої листи містили експлойти, використали уразливості в Microsoft Office. Ці експлойти були створені сторонніми зловмисниками і раніше використовувалися в різних кібератаки, націлених як на тибетських активістів, так і на військовий і енергетичний сектори ряду держав азіатського регіону", - йдеться у звіті "Лабораторії".

В результаті хакери викрадали з заражених систем інформацію, що міститься у файлах різних форматів. Експерти "Лабораторії Касперського" виявили серед інших файли з розширенням acid*, що говорить про їх приналежність до секретного програмного забезпечення Acid Cryptofiler, (pdw) низкою організацій, що входять до складу країн Євросоюзу і НАТО.

Для контролю мережі заражених систем злочинці використали понад 60 доменних імен і сервери, розташовані в різних країнах світу, переважно в Німеччині та Росії. При це ряд моментів дозволяє говорити про російське походження зловмисників. Так, кілька файлів містять в собі російські слова, написані латиницею, наприклад, "zakladka" або сленгове "proga". Проте однозначно заявити про те, якою країною були організовані атаки, не можна.

"Інформація, вкрадена атакуючими, очевидно є вкрай конфіденційною і включає в себе, зокрема, різні геополітичні дані, які можуть бути використані на державному рівні. Така інформація може бути виставлена на торги на"чорному ринку" і продана будь-кому, хто запропонує найвищу ціну", - відзначають експерти.

Кирило РОЖКОВ