Кибероружие и кибершпионские программы

2012 год стал переломным с точки зрения развития кибервооружений: к его началу человечество подошло со знанием всего лишь двух вредоносных программ, к разработке которых, по мнению экспертов, имеют отношения правительственные структуры — Stuxnet и Duqu. Однако уже в первые месяцы 2012 года специалистам «Лаборатории Касперского» пришлось столкнуться с изучением инцидентов, связанных как минимум еще с четырьмя видами вредоносных программ, имеющих право быть отнесенными к классу кибероружия:

В мае 2012 года Лаборатория Касперского обнаружила вредоносную программу «Flame», вирусные аналитики охарактеризовали её «самым сложным кибер-оружием из ранее созданных», поразившим от 1000 до 5000 компьютеров по всему миру. Вредоносный код «Flame» во многом превзошёл «Stuxnet»: размером — около 20 мегабайт, количеством библиотек и дополнительных плагинов — более 20-ти, базой данных SQLite3, различными уровнями шифрования, использованием редкого для создания вирусов языка программирования LUA. Как считают вирусные аналитики Лаборатории Касперского, разработка этой вредоносной программы началась более 5 лет тому назад и она проработала на заражённых компьютерах Ближнего Востока не менее двух лет. Детальный анализ вредоносной программы позволил исследователям установить, что её разработка началась еще в 2008 году и активно продолжалась вплоть до момента обнаружения в мае 2012 года. Кроме того, выяснилось, что один из модулей платформы Flame был использован в 2009 году для распространения червя Stuxnet.

  • «Gauss».

Дальнейшие поиски привели исследователей к обнаружению еще одной сложной вредоносной программы, созданной на платформе Flame, однако отличающейся по функционалу и ареалу распространения, – кибершпиону Gauss, который обладал модульной структурой и функционалом банковского троянца, предназначенного для кражи финансовой информации пользователей зараженных компьютеров. Многочисленные модули Gauss использовались для сбора информации, содержащейся в браузере, включая историю посещаемых сайтов и пароли, используемые в онлайн-сервисах. Жертвами вредоноса стали клиенты ряда ливанских банков, таких как Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank и Credit Libanais, а также Citibank и пользователи электронной платёжной системы PayPal.

  • Red October.

В январе 2013 года история с кибершпионскими программами получила громкое продолжение – эксперты "Лаборатории Касперского" сообщили об обнаружении шпионской сети «Красный октябрь», организаторы которой (имеющие предположительно русскоязычные корни) вели слежку за дипломатическими, правительственными и научными организациями в различных странах. Предполагаемые киберпреступники пытались получить конфиденциальную информацию и данные, дающие доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также занимались сбором сведений геополитического характера. Ареал деятельности данных лиц распространялся на республики бывшего СССР, страны Восточной Европы, а также некоторые государства Центральной Азии .

  • NetTraveler.

В июне 2013 года «Лаборатория Касперского» объявила о раскрытии новой кибершпионской сети, получившей название NetTraveler и затронувшей более 350 компьютерных систем в 40 странах мира. Атаке подверглись государственные и частные структуры, в том числе правительственные учреждения, посольства, научно-исследовательские центры, военные организации, компании нефтегазового сектора, а также политические активисты.Россия оказалась в числе наиболее пострадавших стран, заняв вторую строчку в рейтинге государств, испытавших на себе наиболее заметные последствия операции NetTraveler. Согласно результатам расследования, проведенного экспертами «Лаборатории Касперского», кампания шпионажа стартовала еще в 2004 году, однако пик её пришелся на период с 2010 по 2013 гг. В последнее время в сферу интересов атакующих входили такие отрасли, как освоение космоса, нанотехнологии, энергетика, в том числе ядерная, медицина и телекоммуникации. Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что 6 жертв операции NetTraveler ранее пострадали от «Красного октября». Тем не менее прямых связей между организаторами NetTraveler и «Красного октября» найдено не было. В сентябре 2013 года эксперты «Лаборатории Касперского» обнаружили сразу две кампании кибершипонажа, направленные на южнокорейские промышленные, научно-исследовательские, оборонные и государственные организации. Первая кампания строилась на базе троянца Kimsuky, который обладал таким функционалом, как слежение за нажатием клавиш, составление и кража списка файлов во всех каталогах, удаленное управление компьютером и хищение документов формата HWP, повсеместно используемого в южнокорейских госучреждениях в составе пакета Hancom Office. Улики, обнаруженные экспертами «Лаборатории Касперского», дают возможность предполагать наличие «следа» Северной Кореи. Среди целей атакующих были южнокорейские университеты, занимающиеся изучением международных отношений и разработкой государственной оборонной политики, национальная логистическая компания и группы политических активистов.

  • Icefog.

Другой кибершпион с ярко выраженной корейской «географией» – Icefog – был обнаружен «Лабораторией Касперского» спустя всего несколько дней после Kimsuky.Тактика набегов Icefog демонстрирует новую тенденцию: небольшие группы хакеров начинают охотиться за информацией с «хирургической» точностью. Атака продолжается от нескольких дней до недель и, получив желаемое, злоумышленники подчищают следы и уходят. Исследование показывает, что среди целей группы были подрядчики оборонной отрасли, судостроительные компании, морские грузоперевозчики, телекоммуникационные операторы, медиа-компании. Взламывая компьютеры, киберпреступники перехватывали внутренние документы и планы организации, данные учетных записей почты и пароли для доступа к внешним и внутренним ресурсам сети, а также списки контактов и содержимое баз данных. Основываясь на ряде улик, оставленных атакующими, специалисты «Лаборатории Касперского» предполагают, что члены этой группы могут находиться в одной из трех стран: Китай, Южная Корея или Япония.