Красный октябрь (Red October, Rocra)
В январе 2013 года Лаборатория Касперского (Kaspersky) сообщила об обнаружении сети кибершпионажа, которой специалисты Лаборатории присвоили кодовое наименование «Красный октябрь». По заявлению антивирусных экспертов, данная сеть функционировала с середины 2007 года и использовалась для похищения конфиденциальной информации с компьютеров государственных служб многих стран.
Некоторые научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства и торговые предприятия также стали жертвами мошенников. В данный момент число организаций, куда злоумышленникам удалось внедрить вредоносную программу, исчисляется сотнями. Операция получила название Red October, или Rocra.
Для сбора данных злоумышленники использовали уникальное ПО собственной разработки на основе модульной структуры. С помощью вредоносного ПО мошенники собирали данные самого разного характера — от офисных документов и зашифрованных файлов до конфигураций сетевого оборудования. Управление сетью вредоносных программ и получение данных при этом осуществлялось через масштабную сеть прокси-серверов, насчитывающую более 60 доменных имен.
Эксперты сообщили, что заражению в основном подверглись организации в Восточной Европе и странах бывшего СССР, однако в Средней Азии, Северной Америке и странах Западной Европы — например, в Люксембурге и Швейцарии — также есть жертвы. Количество полученных злоумышленниками данных, по мнению экспертов, насчитывает сотни терабайт.
По данным «Лаборатории Касперского», сеть продолжает работать и в данный момент. Более подробная информация о структуре заражения и странах, где работала вредоносная программа, доступна на сайте «Лаборатории Касперского» в виде инфографики
Выбор названия («Охота за Красным Октябрем» — так назывался вышедший в 1984 году, во времена правления Рональда Рейгана, роман Тома Клэнси о советской подводной лодке) становится понятным, если прочитать отчет об исследовании, опубликованный «Лабораторией».28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT 
Во-первых, Red October является модульным (общее число его компонентов — 30) и весьма сложным по архитектуре (1000 файлов со 115 датами создания, охватывающими период в два года с небольшим). Кроме того, он ориентирован на многие операционные среды (несколько мобильных платформ, помимо ПК) и имеет управляющую сеть, которая охватывала 60 доменов. Все это явно указывает на то, что Red October скорее киберорудие, а не просто криминальное.
Будучи небольшим по численности пораженных им жертв, Red October избегал обнаружения по крайней мере с 2007 года, причем ему не просто повезло — код системы не был позаимствован из «коммерческих» вредоносных программ, иначе бы антивирусы уже давно его обнаружили.
О целях «Красного Октября», пожалуй, лучше всего можно судить по информации, которую он пытался красть: это обширный список типов файлов, в том числе файлы системы шифрования Acid Cryptofilter которая по сведениям «Лаборатории», «применяется в некоторых структурах НАТО и Евросоюза» лишь с недавнего времени. Когда вирусу удавалось похитить верительные данные, он их использовал для последующих атак.
Жертвами Red October стали почти триста систем во многих странах, в том числе в Северной Америке и Западной Европе, но в основном — в Восточной Европе и бывших советских республиках. Только в России было зарегистрировано 35 заражений.
В коде вируса есть кое-какие признаки спешки. Например, для одной из уязвимостей операторы Red October воспользовались кодом известного эксплойта китайского происхождения, тем самым пойдя на риск раскрытия. Это явно не в стиле разведчиков старой школы.
Что касается свидетельств сложности вируса помимо его обширной инфраструктуры Red October использовал довольно необычные методы, например,режим восстановления контроля: вирус ожидает открытия специально подготовленного документа Office или PDF и выполняет содержащиеся в нем команды. Этот механизм односторонней связи предусмотрен на случай отключения управляющих серверов, полагают в «Лаборатории».
Кто же может стоять за Red October и с какими намерениями?
В «Лаборатории» делают ряд намеков, начиная с названия вируса в базе данных компании — Backdoor.Win32.Sputnik и его прозвища. Эксперты компании также пишут, что, судя по многочисленным свидетельствам, оставленным в файлах, есть основания предполагать, что создатели вируса — русскоязычные специалисты. Таким образом, круг подозреваемых сужается. Кто бы ни был автором вредоносной системы, он рассчитывал долгосрочно следить за правительственными и военными ведомствами в странах, когда-то бывших союзниками России, а также за их новыми друзьями во всем мире.
Судя по Red October, можно оценить масштаб разведывательной деятельности в киберпространстве. «Это уже напоминает шпионские страсти времен холодной войны, — полагает Джарно Лимнелл из финской компании по информационной безопасности Stonesoft. — Перед нами сложнейший вирус, который незамеченным преодолел системы безопасности и затем тайно работал, отправляя своим операторам всевозможные собранные сведения. Киберпространство уже стало новой зоной боевых действий, и правительствам, негосударственным организациям, коммерческим компаниям пора понять, что атаки вроде Red October — это уже фактически норма. Что касается кибершпионажа — им занимаются все. Просто кому-то это удается лучше, кому-то — хуже».
Оценку данной ситуации дал Слободенюк Дмитрий Олегович, директор компании ARinteg, системного интегратора, 15 лет работающего на рынке информационной безопасности.
«На протяжении ряда последних лет многие эксперты в области антивирусной защиты отмечают возрастающую «направленность» вирусных атак. Атака может воздействовать на определенную группу пользователей, конкретный регион и т.д. Такая направленность крайне затрудняет работу антивирусных лабораторий, которые сейчас зависят от «фактора массовости» - чем более широко распространяется вирус – тем проще его в итоге обнаружить и заблокировать. Сеть «Красный октябрь» в этом отношении можно считать практически идеальным примером узко сфокусированной атаки. Свидетельством этого является очень небольшое число систем, подвергшихся заражению – всего около 200-250 (число заражений для «нормальных» вирусов может достигать нескольких миллионов или десятков миллионов), - рассказывает Дмитрий Слободенюк. – Обнаружение атаки в таких случаях возможно, только если в распоряжении службы информационной безопасности организации, подвергшейся атаке, имеются мощные средства анализа сетевой активности и системы DLP. По-видимому, именно такими средствами и была выявлена аномальная активность, данные о которой были затем переданы в «Лабораторию Касперского» и привели в конечном итоге к обнаружению шпионской сети».
«Какие выводы можно сделать из истории (еще незавершенной) с сетью «Красный октябрь»? Первый и главный - антивирус, даже самый лучший, не является панацеей. Современная антивирусная защита направлена в основном на ликвидацию широко распространенных угроз и может не справиться с узконаправленной атакой, проводимой в «неавтоматическом» режиме с тщательным подбором целей и методов атаки. В случае компьютерных систем, использующихся для обработки важной конфиденциальной информации, в обязательном порядке должны использоваться продвинутые комплексные системы безопасности и DLP, - отмечает директор компании ARinteg. – Хорошим способом защиты также может служить полная изоляция сетей, предназначенных для такой работы, от «общедоступных» - правда, с развитием принципов «мобильности» полноценное внедрение такого способа затрудняется».
