Читаем Итоги № 5 (2013) полностью

Происходит это так, рассказывает Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского»: «На электронный адрес, имеющийся в открытом доступе, например на ресепшн, приходило самое обычное письмо с предложением, скажем, приобрести автомобиль дипломатического класса. Обычное такое деловое письмо, которое секретарь с большой вероятностью откроет, а потом с большой вероятностью удалит. И никакого потока однотипных писем, напоминающих спам! Не больше двух-трех адресов на организацию». Так троян попадал на компьютер внутри посольства, военной части или завода. И начинал жить своей незаметной, но насыщенной жизнью: собирал файлы не только с жестких дисков, а еще и с флэшек, причем даже удаленные — сам их восстанавливал. Поджидал подключения мобильного телефона и быстренько переписывал адресную книгу, историю звонков, SMS, отметки в календаре (день рождения тещи — это тоже важно). Внимательно изучал почту, не забывая скопировать электронную переписку из локального хранилища Outlook, с удаленного почтового сервера, а также с внутренних FTP-серверов. Живо интересовался всевозможными логинами и паролями, складывал их в отдельную стопочку. Записывал конфигурации маршрутизаторов и прочего сетевого оборудования. Не ленился запоминать тексты, вводимые с клавиатуры, и украшал эти записи скрин-шотами экрана. А потом отправлял наворованное цифровое добро хозяину и засыпал в ожидании очередной команды.

Команда приходила зачастую с новыми модулями, написанными под новое задание. Всего с 2007 года специалисты обнаружили более 1000 файлов, относящихся к 30 различным «тематикам» (до последнего момента проект Red October продолжал работать, самые свежие шпионские модули датированы 8 января).

В этом еще одно радикальное отличие Red October от традиционной киберпреступности — интеллект человека-оператора. Точнее, целого аналитического отдела. Так считают в «Лаборатории Касперского». Хотя наличие госзаказчика у операции Red October не доказано, трудно поверить, что обычные киберпреступники возьмутся за такую задачу. Парочкой яйцеголовых программистов, которые у них обычно имеются, тут явно не обойтись. Нужна группа разработчиков, одновременно действующих по десятку направлений, плюс IT-архитектор. Аутсорсеры из числа вольных хакеров, то есть неизвестные виртуальные личности под никами, для таких задач не годятся — они склонны поскорее сбыть краденое, как только на горизонте появится покупатель, и надежно хранить чужое добро не приучены. «У них на ресурсах свежие данные подчас свалены кучей, не то что незашифрованные, иногда даже просто в открытом доступе»,— рассказывает Виталий Камлюк. В общем, как все романтики с большой дороги, эти «специалисты» крайне ненадежны в плане долгосрочных рабочих отношений.

Бывалый ботовод сгодится разве что на роль архитектора шпионской сети, хотя интернет-структура Red October покруче мощного ботнета: более 60 доменных имен использовалось атакующими для кражи данных. Домены размещались на нескольких десятках IP-адресов, расположенных в основном в Германии и России, а подключения происходили из 40 стран. Мозговой центр — командный сервер, который собирал все похищенные данные и отдавал команды на продолжение изысканий, — скрыт за цепочкой прокси-серверов и подчиненных управляющих серверов. Но за какую зарплату удачливый ботовод согласится на эту работу? Эти парни слишком любят деньги. Для успешных преступников, поясняет Сергей Никитин, замруководителя лаборатории компьютерной криминалистики Group-IB, около миллиона долларов в месяц на группу из 4—5 человек — это норма. Так что, полагает Сергей Никитин, бизнес-модели киберпреступников и массовых заказных целевых атак разнятся настолько, что практически неизвестны случаи, когда команды киберворов переключались на целевые атаки. К тому же не хватает технологии еще одного типа.

Попасть в молоко

Очень плохо обстоят сегодня дела со средствами точного наведения на заранее заданный компьютер: невозможно быть уверенным, что у заданной цели имеется именно та уязвимость, для которой атакующий приготовил свой эксплойт. Это пока удерживает мир от того, чтобы кибероружие продемонстрировало свой разрушительный потенциал. Но работа идет именно в этом направлении, уверены в «Лаборатории Касперского».