МОСКВА, 31 янв — РИА Новости, Иван Шадрин. Шпионская сеть Red October, которую раскрыла российская антивирусная компания "Лаборатория Касперского" в январе, вызвала широкий резонанс среди экспертов по информационной безопасности и в мировых СМИ. Примерно с 2007 по 2012 год, пять лет, хакеры похищали информацию из дипмиссий, исследовательских институтов и оборонных организаций по всему миру. В беседе с корреспондентом РИА Новости ведущий антивирусный эксперт "Лаборатории" Виталий Камлюк, участвовавший в исследовании сети, рассказал, как эксперты компании охотились за "Красным октябрем".
Red October стала одной из крупнейших шпионских сетей, обнаруженных за последние несколько лет, целью владельцев которой были государственные секреты. Злоумышленникам удалось похитить информацию, которая на черном рынке может стоить десятки и сотни тысяч долларов. Атака также стала одним из первых масштабных нападений на российские организации — больше всего заражений было зарегистрировано в России, в то время как раньше объектами подобных атак были в основном страны Ближнего Востока.
Сейчас исследователи знают о десятках разномастных вредоносных модулей, терабайтах похищенных данных и неизвестной команде профессионалов, стоявшей за этой атакой. А началось все с одного-единственного файла.
Администрация городской службы
История с Red October началась в октябре прошлого года, когда в "Лабораторию Касперского" обратился один из ее партнеров с просьбой проанализировать подозрительный файл, обнаруженный в своей компьютерной сети.
"К нам обратилась одна из организаций-партнеров компании с просьбой провести анализ одного исполняемого файла. Сами они в организации изначально думали, что эта целевая атака против них конкретно, но в итоге оказалось, что список жертв не ограничивается одной организацией", — рассказывает Виталий Камлюк.
О том, что это за учреждение, и какова область его деятельности в "Лаборатории", по просьбе самой организации, не говорят, отмечая лишь, что находится она не в русскоговорящей стране. Первичный анализ исполняемого файла экспертам почти ничего не дал — как в коллекции самой "Лаборатории Касперского", так и в общедоступных базах вредоносных программ похожего кода обнаружено не было. Однако в файле все же было за что "зацепиться", поскольку он содержал в себе IP-адрес сервера в интернете.
Чтобы понять, как файл взаимодействует с сервером, эксперты "Лаборатории" создали виртуальную машину (копию обычного компьютера, созданную с помощью специального программного обеспечения) и запустили на ней исполняемый файл.
"Кое-какие "первичные" модули вскоре были заброшены. Они собирали и отсылали злоумышленникам информацию о том, какие программы установлены в нашей системе, какие флэш-накопители и мобильные устройства к ней подключались, подключен ли компьютер к локальной сети и прочее. В зависимости от результата, на компьютер забрасывались новые вредоносные модули под более узкие задачи", — рассказывает Камлюк.
Симуляция заражения компьютера вредоносной программой — обычная практика антивирусных исследователей. Таким образом экспертам удается выяснить функционал вируса и понять, как и с какими серверами он взаимодействует, какую информацию отсылает злоумышленникам.
Анализ поведения первых модулей дал экспертам "Лаборатории" представление о том, какого рода компьютеры и компьютерные сети интересны владельцам Red October. Но в компании подозревали, что модулей существует больше тех нескольких экземпляров, что загрузились на первый виртуальный компьютер.
"Чтобы понять цели и масштабы атаки, нам нужно было собрать как можно больше вредоносных модулей, участвующих в ней. Для этого мы создали виртуальную сеть компьютеров, якобы принадлежащую администрации некоей городской службы. Как выяснилось, — как раз то, что искали злоумышленники", — объясняет Камлюк.
Администраторы Red October на наживку экспертов клюнули — в виртуальную сеть несуществующей городской службы стали один за другим загружаться вредоносные модули под самые разные задачи. Исследователи создали еще несколько подобных сетей и, по словам Камлюка, в итоге в руках аналитиков "Лаборатории" оказалось более тысячи уникальных вредоносных файлов.
34 из 1000
Даже когда стало ясно, что владельцы Red October явно не стремятся создать бот-сеть для рассылки спама, проведения DDoS-атак или хищений денег с банковских счетов, как в случае с большинством вредоносных программ, в "Лаборатории" не спешили впадать в шпионскую паранойю и искали наиболее прозаичное объяснение такому количеству вредоносных программ.
В частности, поначалу эксперты предположили, что вся эта тысяча уникальных файлов — просто несколько разных вредоносных программ, но по-разному зашифрованных. Киберпреступники часто перешифровывают одну и ту же вредоносную программу, чтобы добиться временной "невидимости" вируса для ряда антивирусных программ. Однако в случае с Red October эта теория не выдержала критики.
"Слишком уж они по размерам отличались, было видно, что очень большая часть этого массива файлов относится к разным типам. Мы стали анализировать, пытаться сгруппировать файлы по схожим признакам и в итоге поняли, что к чему", — рассказывает Виталий Камлюк.
В результате анализа, на который, по словам эксперта, ушло несколько недель, исследователи выявили 34 различных вредоносных модуля с самым разным назначением — от простого сбора статистики и поиска информации до взлома сетевого оборудования, смартфонов на операционных системах Windows Mobile, iOS, Symbian и восстановления уничтоженных файлов.
Вирусы на все случаи жизни
Анализ поведения модулей, собранных в ходе исследования, помог экспертам понять анатомию, цели и масштабы атаки Red October. Выводы не оставили шансов ни одной теории о назначении атаки, кроме шпионской.
Проникновение в атакуемую сеть начиналось с социальной инженерии — на компьютер жертвы посылался файл Word или таблица Excel с внедренным вредоносным кодом, который исполнялся как только пользователь открывал такой файл. Тематика рассылаемых документов подбиралась так, чтобы привлечь внимание адресата. По ней же можно примерно представить, какие именно организации попали в прицел злоумышленников.
В исследовании "Лаборатории Касперского" фигурируют примеры Word-документа с объявлением о продаже подержанного автомобиля с дипломатическими номерами, а также таблиц Excel с названиями типа spisok sotrudnikov, list of shahids, Katyn — opinia Rosjan и другими заголовками, явно направленными на привлечение внимание специфической аудитории. Список атакованных организаций соответствующий — в основном это посольства в разных уголках мира.
Заразив один компьютер, злоумышленники — с помощью дополнительных модулей — искали все возможные способы углубиться в атакуемую сеть. В частности, некоторые модули пытались выяснить, есть ли в атакованной организации изолированные сети. Такие сети используются для обмена конфиденциальными документами и обычно либо не подключены к интернету, либо их наличие скрывается с помощью особой конфигурации сетевого оборудования. Как говорят в "Лаборатории Касперского", злоумышленники активно их искали.
"Если признаки присутствия такой сети обнаруживались, то администраторы Red October скорее всего пытались изменить конфигурацию сетевого оборудования так, чтобы открыть внешний доступ в закрытую сеть, либо загружали на один из подключенных к интернету компьютеров комплект модулей, созданных специально для похищения данных с изолированных ПК", — рассказывает Камлюк.
Такие модули копировали себя на съемный флеш-накопитель, и когда позже его подключали к компьютеру, находящемуся в закрытой сети, они заражали машину, копировали нужную информацию и ждали "возвращения" на исходный компьютер, чтобы передать данные злоумышленникам.
"Несмотря на то, что модули, заражающие флешки, так и не были обнаружены, у нас есть основания полагать, что они все же существуют — мы нашли модули, копирующие файлы с флешки и передающие их на центр управления. Так вот на флешку эти файлы помещались с помощью какого-то другого, неизвестного нам пока модуля", — говорит эксперт.
Хотя все шпионские модули Red October способны похищать самые разные виды информации (текстовые файлы, таблицы, изображения, почтовые сообщения и прочее), злоумышленникам отсылалось далеко не все.
"Модули, ответственные за сбор данных, имели инструкции по названиям файлов, их типу и размеру. Например, мы видели требование, чтобы офисный документ не был больше двадцати мегабайт и не старше одного месяца", — поясняет Виталий Камлюк.
По мнению эксперта, использование ограничений связано, прежде всего, со стремлением атакующих минимизировать количество "мусорных" файлов, которые затруднили бы последующую обработку полученных данных, а также не вызывать у пользователя зараженного компьютера, подозрений о том, куда делось свободное место на диске.
Ручной анализ
В распоряжении злоумышленников, организовавших атаку Red October, были самые разные программные средства для автоматического поиска и похищения больших объемов данных, однако промежуточный анализ собранных данных явно проводили люди, считают в "Лаборатории Касперского".
Один из зарубежных партнеров российской компании рассказывал, что уже сталкивался с модулями Red October до октября 2012. Им удалось получить информацию о методах работы злоумышленников.
"По словам наших зарубежных коллег, модули, за которыми они наблюдали, не всегда были активны. В один день исследователи регистрировали активную передачу данных, а потом несколько дней ничего не происходило. Вероятно потому, что злоумышленникам требовалось время на обработку полученной информации", — рассуждает Камлюк.
Свидетельства промежуточного анализа регистрировались и в ходе исследования в самой "Лаборатории Касперского". Сначала первичные модули отсылали администраторам Red October файлы с описанием всего, что есть на зараженном компьютере. Через некоторое время на компьютер загружался дополнительный модуль, который забирал лишь часть файлов из тех, информация о которых содержалась в описании.
"Очевидно, что первые данные должен был анализировать живой аналитик. Вероятно, по итогам анализа он сообщал о наличии ценных файлов менеджеру, а тот уже инструктировал программистов, под похищение каких данных разрабатывать очередной модуль", — говорит Камлюк.
По сходной схеме злоумышленники действовали, если удавалось обнаружить хэши паролей (их зашифрованные в целях безопасности значения, хранящиеся в памяти компьютера) от учетных записей на зараженном компьютере. Если хэши удавалось расшифровать, то через некоторое время на компьютер загружался специальный модуль с текстовым файлом, в котором хранились расшифрованные логины и пароли. Их злоумышленники использовали для дальнейшего заражения атакуемой сети.
"Хакеру-одиночке такой объем работы не под силу. Речь идет о команде, причем профессиональной", — считает Камлюк.
Профессиональная команда
По мнению Виталия Камлюка, чтобы заставить Red October эффективно работать, организаторам атаки нужен был постоянный штат размером в 10-20 специалистов, большинство из которых должно было обладать богатой экспертизой в области программирования.
"Один из модулей способен вытаскивать с флеш-накопителя даже те файлы, которые его владелец уже удалил. Чтобы написать такую программу, автору надо было полностью реализовать логику работы с файловой системой FAT. Не углубляясь в технические детали, скажу, что студент-программист на такое вряд ли способен", — говорит Камлюк.
Опыта и обширных знаний требовали и многие другие задачи, реализованные в Red October. В частности, модуль для конфигурации маршрутизатора, используемого в атакуемой организации, требует от программиста глубоких знаний в области сетевого оборудования — это еще один высококлассный специалист, без которого Red October не была бы эффективна.
Авторы вредоносного ПО, использовавшегося при этой атаке, вообще не похожи на "обычных" вирусописателей, отмечает Камлюк. Скорее на подготовленных программистов.
"Обычно, когда изучаешь код очередного вредоноса, видно, из какой среды его автор. Те, кого принято называть киберпреступниками, обычно используют специфическую лексику — слова, типа "бот", "троян", "заражение" и другие. В случае с Red October ничего подобного мы не нашли. Зато находили, например, отладочные логи, что опять таки больше свойственно программистам, а не вирусописателям", — рассказывает Камлюк.
Отладочные логи — это специальные файлы, с помощью которых программист видит как работает написанная им программа, может быстро определить, на каком этапе ее работы возникают ошибки и оперативно их исправить или просто оптимизировать исполнение кода. По словам Камлюка, вирусописатели в большинстве случаев заботятся лишь о том, чтобы вредоносный код просто достигал результата.
Русский английский
Хотя хакерского жаргона в строчках кода модулей Red October исследователи из "Лаборатории Касперского" не нашли, некоторые лингвистические открытия все же случились. Например, в коде двух модулей были обнаружены слова Proga и Zakladka — явная транслитерация с русских слов "прога" (сокращенно от программа) и "закладка" (жаргонное определение скрытого функционала в программе или оборудовании). Были и другие свидетельства русскоязычного происхождения авторов вредоносных модулей, использовавшихся в атаке.
"В коде других модулей часто используется глагол to succeed, которым обозначается успешное исполнение операции. Правда, употребляется несуществующая форма этого слова — successed. Этакий Runglish. В общем, код писали явно не носители английского языка", — поясняет Камлюк.
По мнению эксперта, эта ошибка вкупе с употреблением русских слов, написанных латиницей, дает основания полагать, что авторами программных модулей могли быть специалисты, говорящие по-русски. Являются ли они гражданами России, выходцами из бывшего СССР или соседних стран, определить пока не удалось.
Кто и зачем?
Ответов на главные вопросы, связанные с атакой Red October (кто и зачем ее организовал) у экспертов нет. Несмотря на трудоемкость и дороговизну, реализовать подобную атаку вполне под силу не только госструктурам, но и частной компании — информация, за которой охотились организаторы Red October, по словам специалистов, на черном рынке стоит очень дорого.
Надеяться на то, что кто-то из авторов вредоносных модулей раскроет имена организаторов атаки, скорее всего, бессмысленно, считает Камлюк.
"Не исключено, что авторы модулей могли и не знать о том, как будет использована программы, разработку которых им заказали. Если конечно, для Red October привлекались фрилансеры, а не полноценный штат экспертов. К примеру, организатор анонимно заказал программисту написать программу для восстановления данных, удаленных с флеш-накопителя. Программист просто пишет код, который может быть использован по-разному", — объясняет Камлюк.
Специалистам "Лаборатории Касперского" удалось получить информацию о некоторых серверах управления, с помощью которых злоумышленники управляли модулями на зараженных машинах, но по итогам анализа выяснилось, что ни один из известных серверов не сохраняет у себя данные, полученные с зараженных машин, а вместо этого переправляет их по цепочке на основной сервер управления, местоположение которого неизвестно. Содержимое файлов, похищавшихся в ходе атаки, также неизвестно — все данные передавались в зашифрованном виде.
Не конец атаки
Через несколько часов после сообщения "Лаборатории Касперского" об обнаружении Red October, все известные специалистам серверы, обслуживавшие атаку, перестали отвечать на запросы вредоносных модулей, работающих на зараженных компьютерах — злоумышленники среагировали на новости.
Однако вполне возможно, что охота на "Красный октябрь" еще не закончена. Вскоре после отключения серверов выяснилось, что часть из 60 доменных имен, на которые были зарегистрированы серверы управления Red October, теперь используются в паре с новым сервером, который — судя по IP-адресу — находится на территории США.
"Что это за сервер, кому он принадлежит и с какими программами взаимодействует, мы как раз сейчас разбираемся", — сообщил Камлюк.