Перша частина дослідження операції «Червоний Жовтень» сьогодні опублікована на сайті лабораторії. Анонсовано також другу частину, яка міститиме детальний технічний аналіз всіх відомих модулів. Її буде опубліковано впродовж кількох днів.

Експерти виявили, що протягом останніх п'яти років, починаючи з 2007 року, в різних країнах світу хакери здійснили серію атак проти дипломатичних відомств, державних структур і науково-дослідних організацій.
У подібні організації вірус потрапляв через конкретного користувача за допомогою фішингової пошти. Троян використовував вразливості, наявні, наприклад, в Microsoft Office і продуктах Adobe. Атаки ретельно готувалися і в кожному конкретному випадку модуль вірусу допрацьовувався вручну з урахуванням специфіки користувача, через якого здійснювалося зараження.

Зловмисникам, за даними експертів, вдалося здійснити десятки успішних атак, викрасти терабайти даних і при цьому залишитися фактично непоміченими більшістю жертв.

Вірус, який має не менше 30 різних модулів, отримав від «Лабораторії Касперського» умовне позначення Backdoor.Win32.Sputnik. Він викрадає документи з різними розширеннями - від простого TXT — до acid. Це розширення належить секретному програмному забезпеченню для шифрування «Acid Cryptofiler», яке використовується в структурах Євросоюзу і НАТО.

«Інформація, вкрадена хакерами, очевидно, є вкрай конфіденційною і включає в себе, зокрема, різні геополітичні дані, які можуть бути використані на державному рівні», — наголошується у звіті.

Експерти зазначають, що деякі модулі містять «забавні» помилки, які вказують на російськомовних розробників шкідливої програми. Зокрема, у скриптах використані слова «PROGA» і «zakladka», які, очевидно, є транслітерацією російських слів.

Для керування атаками використовувалося більше 60 доменних імен, прикріплених до IP-адрес в Німеччині та Росії. Найбільше заражень припадає на Росію, країни колишнього СРСР та азіатські країни.

Експерти «Лабораторії Касперського» зазначають, що продовжують дослідження операції «Червоний Жовтень» спільно з Computer Emergency Response Teams (CERT) з різних країн, у тому числі США, Румунії і Білорусії.

Джерело: Лента.ru