Вечером 4 июня "Лаборатория Касперского" рассказала об обнаружении крупной кибершпионской сети, которая крала данные с компьютеров в разных уголках планеты. Как утверждают специалисты, сеть действовала несколько лет, а жертвами хакеров стали правительства, диппредставительства, военные и другие организации. За атакой, по-видимому, вновь стоят китайцы.
Как оказалось, ничего принципиально нового или инновационного в найденной шпионской сети нет. Главной в ней была и остается вредоносная программа, которую в ЛК назвали NetTraveler. Свое имя она получила, как это и водится, из-за того, что в теле программы было обнаружено сообщение "NetTravelerisRunning" ("NetTraveler запущен"). NetTraveler умеет внедряться в компьютеры жертв, находить на них офисные документы и отправлять их на командный сервер. Кроме того, хакеры научили свой вирус отслеживать, какие клавиши на клавиатуре нажимает пользователь — это позволяет, в частности, узнать, какие пароли и сообщения он вводит в браузере.
Интереснее то, каким образом вирус попадал на компьютеры жертв. Злоумышленники рассылали электронные письма с прикрепленным документом. ЛК известно как минимум о двух уязвимостях в Microsoft Word, которые использовались для несанкционированного запуска кода. Для обеих Microsoft уже давно выпустила "заплатки", но множество компьютеров все еще остаются уязвимыми, передает Lenta.ru.
Примечательно, что обе эти уязвимости в прошлом уже упоминались в связи с хакерскими атаками. Так, Microsoft сообщала, что "дырка" с кодовым названием CVE-2010-3333 использовалась в декабре 2010 года при рассылке "новогодних" поздравлений на русском языке. Два года спустя стало известно, что вторую уязвимость, CVE-2012-0158, использовали то ли китайские, то ли корейские хакеры против российских компаний (что интересно, в этом случае сообщения тоже рассылались на русском языке, а рассказывалось в прикрепленных документах о региональном форуме АСЕАН).
В случае с NetTraveler хакеры не ограничились простым использованием уязвимости. Они меняли текст писем и названия документов, содержащих вирусы, чтобы жертвы наверняка "клюнули" на уловку. Так, специалисты нашли документ на монгольском языке, а также файлы с названиями вроде "His Holiness the Dalai Lama’s visit to Switzerland Day 3.doc" (дословно — "Визит Его святейшества Далай-ламы в Швейцарию, день 3"; встречались также "день 1", "день 2" и "день 4"). Последний, например, был использован для заражения компьютеров тибетских и уйгурских активистов, которые, как известно, находятся в оппозиции к китайским властям.
Благодаря такой "гибкости" хакерам удалось заразить компьютеры в 350 организациях, расположенных в 40 странах мира. Причем ЛК смогла получить доступ только к части серверов, управлявших вирусом. Всего, полагают специалисты, речь может идти примерно о тысяче жертв, причем это цели "высокого профиля": пострадали в первую очередь посольства, а также государственные и военные учреждения. В сумме на них приходится 60 процентов от общего числа обнаруженных жертв. Хакеров интересовали также научные институты, занимающиеся лазерной и ядерной физикой, нанотехнологиями и исследованиями в аэрокосмической сфере. В ЛК отмечают, что научные учреждения чаще становились целями злоумышленников "в последнее время".
Список стран, где было зафиксировано больше всего жертв, довольно необычен: если наличие России и Индии на второй и третьей строчках соответственно еще можно объяснить потенциалом этих стран, то что на первом месте делает Монголия, совершенно неясно. Трудно вспомнить вообще о каких-либо компьютерных инцидентах, связанных с этим государством. С другой стороны, США не попали даже в десятку (в отличие от Китая и Таджикистана, к примеру). При этом хакеры пользовались VPN-серверами, расположенными в США, чтобы скачивать украденные документы с управляющих серверов. Такой подход позволяет замаскировать настоящее местонахождение злоумышленника.
Если вспомнить кибершпионские скандалы последних лет (хотя бы недавнюю историю о серии атак на американские СМИ), то чаще всего хакеры, действующие из Китая, нацелены именно на США. В этом же случае набор мишеней разительно отличается от стандартного, но именно на представителей КНР как на создателей шпионской сети указывают специалисты ЛК. Они нашли в вирусе китайские слова, а также выяснили, что для большинства злоумышленников китайский язык является родным, хотя некоторые говорят еще и на английском. Всего в группировке насчитали около 50 человек, что наводит на мысль о ее "профессиональном" происхождении. Впрочем, ЛК не делает никаких намеков на какое-либо участие в деятельности хакеров со стороны государства.
Не раскрывают специалисты и конкретных жертв NetTraveler, упоминая только, что среди них — военный подрядчик из России, а также посольства неназванных стран в Бельгии, Иране, Казахстане и Белоруссии. В этих же учреждениях раньше был обнаружен вирус Red October ("Красный октябрь"), о существовании которого, естественно, сообщила "Лаборатория Касперского". Впрочем, в докладе подчеркивается, что нет никаких доказательств того, что к этим двум шпионским сетям причастны одни и те же люди. Более того, если вспомнить описание Red October, то в нем были прозрачные намеки на российское или околороссийское происхождение вируса — в его исходниках нашли слова "PROGA" и "zakladka".
В случае с NetTraveler неясно даже, диппредставительства каких государств были атакованы хакерами. Было бы интересно узнать, к примеру, не идет ли речь о посольствах одной и той же страны. Зато в ЛК рассказали, что на обнаруженных командных серверах хранилось около 22 гигабайт документов — довольно много, если учесть, что размер среднего файла в формате .doc или .pdf измеряется в мегабайтах. У Red October счет вообще шел на терабайты, но специалисты подчеркивают, что хакеры, создавшие NetTraveler, наверняка украли больше информации — просто другие данные они уже скачали и стерли с управляющих серверов.
В "Лаборатории Касперского" исследовали сразу несколько разных версий зловредного кода. Большинство из них были созданы между 2010 и 2013 годами, хотя некоторые датированы еще 2005-м. Разработка вируса, подчеркивают специалисты, началась еще в 2004 году. По состоянию на май 2013-го по крайней мере один из командных серверов шпионской сети продолжал работать. А значит, продолжал красть информацию с чьих-то компьютеров.
Впрочем, остается неясным, почему вирус, появившийся почти десять лет назад и заражавший компьютеры серьезных компаний и учреждений, до сих пор не был найден и почему уже второй раз за полгода "разоблачает" шпионские сети именно ЛК. Некоторые пользователи "Хабрахабра", например, отнеслись к заявлениям специалистов с изрядной долей скепсиса. Они предположили, что для рядовых пользователей или экспертов история с NetTraveler — довольно проходная, а значит, в "Лаборатории Касперского" решили "окучивать чиновников", припугнув их шпионами и предложив свою надежную защиту.
Но, в конце концов, нельзя исключать и того, что в ЛК попросту решили похвалиться и напомнить о себе, рассказав об очередных успехах в борьбе со страшными шпионами, которых никто, кроме них, никогда бы не нашел (не нашли же конкуренты за почти десять лет активности вируса). По крайней мере у простых пользователей, по-видимому, останется в памяти только это. Ну а сотрудникам крупных компаний лучше проверить, не проник ли NetTraveler и к ним. К счастью, в докладе ЛК даны подробные инструкции.