Вечером 4 июня «Лаборатория Касперского» рассказала об обнаружении крупной кибершпионской сети, которая крала данные с компьютеров в разных уголках планеты. Как утверждают специалисты, сеть действовала несколько лет, а жертвами хакеров стали правительства, диппредставительства, военные и другие организации. За атакой, по-видимому, вновь стоят китайцы.
Как оказалось, ничего принципиально нового или инновационного в найденной шпионской сети нет. Главной в ней была и остается вредоносная программа, которую в ЛК назвали NetTraveler. Свое имя она получила, как это и водится, из-за того, что в теле программы было обнаружено сообщение «NetTravelerisRunning» («NetTraveler запущен»). NetTraveler умеет внедряться в компьютеры жертв, находить на них офисные документы и отправлять их на командный сервер. Кроме того, хакеры научили свой вирус отслеживать, какие клавиши на клавиатуре нажимает пользователь — это позволяет, в частности, узнать, какие пароли и сообщения он вводит в браузере.
Интереснее то, каким образом вирус попадал на компьютеры жертв. Злоумышленники рассылали электронные письма с прикрепленным документом. ЛК известно как минимум о двух уязвимостях в Microsoft Word, которые использовались для несанкционированного запуска кода. Для обеих Microsoft уже давно выпустила «заплатки», но множество компьютеров все еще остаются уязвимыми.
Примечательно, что обе эти уязвимости в прошлом уже упоминались в связи с хакерскими атаками. Так, Microsoft сообщала, что «дырка» с кодовым названием CVE-2010-3333 использовалась в декабре 2010 года при рассылке «новогодних» поздравлений на русском языке. Два года спустя стало известно, что вторую уязвимость, CVE-2012-0158, использовали то ли китайские, то ли корейские хакеры против российских компаний (что интересно, в этом случае сообщения тоже рассылались на русском языке, а рассказывалось в прикрепленных документах о региональном форуме АСЕАН).
В случае с NetTraveler хакеры не ограничились простым использованием уязвимости. Они меняли текст писем и названия документов, содержащих вирусы, чтобы жертвы наверняка «клюнули» на уловку. Так, специалисты нашли документ на монгольском языке, а также файлы с названиями вроде «His Holiness the Dalai Lama’s visit to Switzerland Day 3.doc» (дословно — «Визит Его святейшества Далай-ламы в Швейцарию, день 3»; встречались также «день 1», «день 2» и «день 4»). Последний, например, был использован для заражения компьютеров тибетских и уйгурских активистов, которые, как известно, находятся в оппозиции к китайским властям.
Благодаря такой «гибкости» хакерам удалось заразить компьютеры в 350 организациях, расположенных в 40 странах мира. Причем ЛК смогла получить доступ только к части серверов, управлявших вирусом. Всего, полагают специалисты, речь может идти примерно о тысяче жертв, причем это цели «высокого профиля»: пострадали в первую очередь посольства, а также государственные и военные учреждения. В сумме на них приходится 60 процентов от общего числа обнаруженных жертв. Хакеров интересовали также научные институты, занимающиеся лазерной и ядерной физикой, нанотехнологиями и исследованиями в аэрокосмической сфере. В ЛК отмечают, что научные учреждения чаще становились целями злоумышленников «в последнее время».
Список стран, где было зафиксировано больше всего жертв, довольно необычен: если наличие России и Индии на второй и третьей строчках соответственно еще можно объяснить потенциалом этих стран, то что на первом месте делает Монголия, совершенно неясно. Трудно вспомнить вообще о каких-либо компьютерных инцидентах, связанных с этим государством. С другой стороны, США не попали даже в десятку (в отличие от Китая и Таджикистана, к примеру). При этом хакеры пользовались VPN-серверами, расположенными в США, чтобы скачивать украденные документы с управляющих серверов. Такой подход позволяет замаскировать настоящее местонахождение злоумышленника.
Страны и типы учреждений, пострадавшие от NetTraveler
Изображение: «Лаборатория Касперского»
Если вспомнить кибершпионские скандалы последних лет (хотя бы недавнюю историю о серии атак на американские СМИ), то чаще всего хакеры, действующие из Китая, нацелены именно на США. В этом же случае набор мишеней разительно отличается от стандартного, но именно на представителей КНР как на создателей шпионской сети указывают специалисты ЛК. Они нашли в вирусе китайские слова, а также выяснили, что для большинства злоумышленников китайский язык является родным, хотя некоторые говорят еще и на английском. Всего в группировке насчитали около 50 человек, что наводит на мысль о ее «профессиональном» происхождении. Впрочем, ЛК не делает никаких намеков на какое-либо участие в деятельности хакеров со стороны государства.
Не раскрывают специалисты и конкретных жертв NetTraveler, упоминая только, что среди них — военный подрядчик из России, а также посольства неназванных стран в Бельгии, Иране, Казахстане и Белоруссии. В этих же учреждениях раньше был обнаружен вирус Red October («Красный октябрь»), о существовании которого, естественно, сообщила «Лаборатория Касперского». Впрочем, в докладе подчеркивается, что нет никаких доказательств того, что к этим двум шпионским сетям причастны одни и те же люди. Более того, если вспомнить описание Red October, то в нем были прозрачные намеки на российское или околороссийское происхождение вируса — в его исходниках нашли слова «PROGA» и «zakladka».
В случае с NetTraveler неясно даже, диппредставительства каких государств были атакованы хакерами. Было бы интересно узнать, к примеру, не идет ли речь о посольствах одной и той же страны. Зато в ЛК рассказали, что на обнаруженных командных серверах хранилось около 22 гигабайт документов — довольно много, если учесть, что размер среднего файла в формате .doc или .pdf измеряется в мегабайтах. У Red October счет вообще шел на терабайты, но специалисты подчеркивают, что хакеры, создавшие NetTraveler, наверняка украли больше информации — просто другие данные они уже скачали и стерли с управляющих серверов.
В «Лаборатории Касперского» исследовали сразу несколько разных версий зловредного кода. Большинство из них были созданы между 2010 и 2013 годами, хотя некоторые датированы еще 2005-м. Разработка вируса, подчеркивают специалисты, началась еще в 2004 году. По состоянию на май 2013-го по крайней мере один из командных серверов шпионской сети продолжал работать. А значит, продолжал красть информацию с чьих-то компьютеров.
Впрочем, остается неясным, почему вирус, появившийся почти десять лет назад и заражавший компьютеры серьезных компаний и учреждений, до сих пор не был найден и почему уже второй раз за полгода «разоблачает» шпионские сети именно ЛК. Некоторые пользователи «Хабрахабра», например, отнеслись к заявлениям специалистов с изрядной долей скепсиса. Они предположили, что для рядовых пользователей или экспертов история с NetTraveler — довольно проходная, а значит, в «Лаборатории Касперского» решили «окучивать чиновников», припугнув их шпионами и предложив свою надежную защиту.
Но, в конце концов, нельзя исключать и того, что в ЛК попросту решили похвалиться и напомнить о себе, рассказав об очередных успехах в борьбе со страшными шпионами, которых никто, кроме них, никогда бы не нашел (не нашли же конкуренты за почти десять лет активности вируса). По крайней мере у простых пользователей, по-видимому, останется в памяти только это. Ну а сотрудникам крупных компаний лучше проверить, не проник ли NetTraveler и к ним. К счастью, в докладе ЛК даны подробные инструкции.