На мети вируса који краде важне податке из амбасада, владиних агенција и института били су углавном Русија и источна Европа, али и наш регион
Руска компанија „Касперски” открила је компјутерски вирус који од 2007. „исисава” податке из амбасада, института и владиних агенција широм света. Мрежа је још увек активна и тешко ју је уништити, пошто тројанац у зараженом компјутеру оставља модул за „оживљавање”, тврде у руској компанији.
За разлику од „стакснета” и „флејма”, које су стручњаци са сигурношћу окарактерисали као савремено шпијунско оружје САД, жртве новог злоћудног софтвера, названог „црвени октобар” (скраћено „рокра”) налазе се по целом свету и углавном су дипломате и научници на институтима.
На мапи објављеној уз извештај, Србија је у категорији земаља у којима су жртве непознате.
„Током нашег надгледања, уочили смо мање од пет потврђених жртава у Србији”, рекао је нашем листу Костин Рају, директор тима за глобална истраживања и анализу у „Касперском”.
Непознате мете нападнуте су такође у Македонији и Хрватској, а у Босни једна амбасада, али у руској компанији не желе да открију која.
Највише заражених компјутера, стотинак од укупно 300, налази се у Русији и источној Европи, али има их и у Северној Америци и западној Европи, све до Конга у Африци.
Белгија је на трећем месту са 16 регистрованих случајева, што су многи довели у везу са чињеницом да је у овој земљи седиште ЕУ и НАТО. Портпарол Европске комисије рекао је, међутим, да нема ниједног доказа да се „црвени октобар” увукао у њен систем.
Истрага је почела у октобру 2012. после анонимне пријаве. Установљено је да су углавном заражени рачунари на местима као што су владине агенције, дипломатске испоставе, нуклеарни и аеронаутички институти и међународне трговинске групе. У Казахстану је нападнут научни институт, у Русији, Ирану, Ирској и БиХ страна амбасада, у Молдавији влада, а у Јапану комисија за спољну трговину.
Нападачи су направили софтвер са јединственом архитектуром од злоћудних екстензија и модула за скупљање података. Добијене информације су често користили да обезбеде приступ другим системима. Осим са класичних рачунара, овај вирус је скидао податке са смартфона, мрежне опреме и екстерних дискова, и то документе шифроване софтвером који користе разне институције од ЕУ до НАТО.
За напад су коришћене безбедносне „рупе” у „Мајкрософтовим” програмима „ворд” и „ексел”. Компјутери су прво заражени злоћудним програмом преко атачмента у мејлу. Чим би жртва отворила документ, на снагу би ступале главне компоненте вируса, успостављајући везу са командним серверима. Затим би се у заражени рачунар слали нови шпијунски модули.
Пошто су погођени компјутери широм света, питали смо руске стручњаке да ли је могуће да је више нападача купило овај вирус на црном тржишту, свако за своје интересе.
„То није уобичајено и вероватно. Постоји више од 1.000 модула који су у вези са овим нападом и који су заразили жртве из неколико главних категорија. Вируси ’комуницирају’ са мрежом сервера команде и контроле, па самим тим не постоји могућност да више нападача купи вирус на црном тржишту”, објашњава Костин Рају.
Мрежу заражених компјутера контролисала је огромна инфраструктура коју су формирали нападачи. У њој је било више од 60 домена на серверима у неколико земаља, углавном Русији и Немачкој, чиме је успешно камуфлирана локација главног сервера.
———————————————-
Кинези прерушени у Русе
„Црвени октобар” је сложен исто колико „флејм” и „стакснет”, који су имали „државне отиске”, али у „Касперском” истичу да је овај вероватно дело људи из света криминала. Не зна се да ли су прикупљене податке користили нападачи или су их продавали. На основу неких трагова верује се да програмери говоре руски, а да су им у успостављању мреже помогли кинески хакери.
У Кини није регистрован ниједан напад, због чега поједини америчким стручњаци закључују да су нападачи „Кинези који се претварају да су Руси”.
Џон Баумгарнер, директор једне америчке непрофитне групе која проучава претње на интернету, каже међутим да извештај „Касперског” много више говори о активностима Русије и да је то чврст доказ да је она поред САД и Кине трећи велики играч у сајбершпијунажи хладноратовског стила.
Многима је привукло пажњу то што се у злонамерном програму крије руска реч „закладка”, што у сленгу значи „микрофон у зиду амбасаде”.
