Лаборатория Касперского разоблачила глобальную сеть кибершпионажа
Лаборатория Касперского объявила о раскрытии глобальной сети кибершпионажа Маска, за которой стоят испаноговорящие злоумышленники, говорится в пресс-релизе компании, распространенном 11 февраля.
По информации компании, обнаруженные следы указывают, что операция ведется как минимум с 2007 года. Был разработан ряд вредоносных программ для различных платформ, включая Mac OS X, Linux и, возможно, iOS.
«Действия злоумышленников, в первую очередь, были направлены на государственные организации, дипломатические офисы и посольства, энергетические и нефтегазовые компании, исследовательские организации и политических активистов», – говорится в пресс-релизе.
По подсчетам Лаборатории Касперского, таргетированной атаке подверглись 380 жертв из 31 страны мира.
Главной целью атакующих был сбор информации из зараженных систем, включая различные документы, ключи шифрования, настройки VPN, применяемые для идентификации пользователя на сервере SSH-ключи, а также файлы, используемые программами для обеспечения удаленного доступа к компьютеру.
«Несколько причин заставляют нас думать, что это может быть кампанией, обеспеченной государственной поддержкой, – рассказал руководитель глобального исследовательского центра Лаборатории Касперского Костин Райю. – Прежде всего, мы наблюдаем крайне высокий уровень профессионализма в действиях группы, которая обеспечивает мониторинг собственной инфраструктуры, скрывает себя с помощью правил системы разграничения доступа, начисто стирает содержимое журнальных файлов вместо обычного их удаления, а также при необходимости прекращает всякие действия».
«Такой уровень самозащиты нетипичен для киберпреступников. Можно сказать, это самая сложная угроза такого класса на данный момент», – резюмировал он.
Исследование показало, что для авторов вредных программ родным языком является испанский. Также анализ выявил, что операция Маска активно велась на протяжении 5 лет – до января 2014 года. Во время проведения исследования управляющие сервера злоумышленников были свернуты.
Заражение пользователей происходило через рассылку фишинговых писем, содержащих ссылки на вредоносные ресурсы. В случае успешной попытки заражения вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме – это мог быть YouTube или новостной портал.