Wirus "Red October" atakował od 5 lat rządowe instytucje Europy Środkowo-Wschodniej

Firma Kaspersky Lab poinformowała o swoim najnowszym odkryciu, czyli wirusie o nazwie "Red October" atakującym cele zlokalizowane przede wszystkim w Europie Środkowo-Wschodniej.

Według Kaspersky Lab służący do szpiegowania wirus atakował głównie systemy wykorzystywane przez laboratoria badawcze, instytucje rządowe i organizacje międzynarodowe znajdujące się w krajach Europy Środkowo-Wschodniej, na terenie byłych republik ZSSR oraz państw Azji Środkowej. Specyfikację niektórych celów jego ataków przedstawia poniższa grafika:

Zasięg dystrybucji wirusa (źródło: Kaspersky)

Zasięg dystrybucji wirusa (źródło: Kaspersky)

Wirus działał aktywnie w Sieci od co najmniej pięciu lat. Do infekcji dochodziło za pośrednictwem poczty elektronicznej. W przesyłanych na skrzynki pracowników atakowanej instytucji wiadomości znajdowały się bowiem zainfekowane pliki PDF, Worda, lub Excela. Aby zachęcić do ich otwarcia dysponowały one bardzo interesującymi nazwami. Chyba najciekawsza z naszego punktu widzenia brzmi Katyn_-_opinia_Rosjan.xls, co potwierdza, że celami ataku były również polskie instytucje państwowe.

Co ważne, obok tradycyjnych ataków na komputery stacjonarne wirus był również zdolny do kradzieży danych z urządzeń mobilnych takich jak smartfony.

Aby kontrolować sieć zainfekowanych komputerów atakujący stworzyli ponad 60 nazw domen oraz kilka serwerów hostingowych znajdujących się w różnych krajach (głównie w Rosji). Infrastruktura serwerów C&C została tak skonfigurowana, aby ukryć położenie głównego serwera zarządzającego.

Co gromadził "Red October"? Kaspersky Lab twierdzi, że m.in. zaszyfrowane pliki programów wykorzystywanych przez podmioty Unii Europejskiej i NATO.

Kto stworzył "Red October"?

"Istnieją mocne techniczne dowody wskazujące, że napastnicy posługują się językiem rosyjskim" - czytamy w raporcie Kaspersky Lab.


Zobacz również