San Francisko – Ruska sajber bezbjednosna kompanija je u ponedeljak izdala obavještenje, o identifikovanju sofisticirane sajber špijunske kampanje koja je u opticaju od 2007. Kampanja je ciljala čitav opseg državnih i diplomatskih organizacija, većinom u Istočnoj Evropi i Centralnoj Aziji ali i u Zapadnoj Evropi i Sjevernoj Americi.

Kaspersky Lab, kompanija koja stoji iza otkrića, kaže da digitalni tragovi upućuju da su počinioci iz ruskog govornog područja, ali da izgleda kao da kampanja nije povezana sa nekom državom. Međutim kao i u skorijim slučajevima kompjuterske špijunaže, Kaspersky izvještaj nije direktno adresirao pogođene sisteme već je dao specifične detalje kako bi se potencijalno ugroženi sistemi ispitali.

Kurt Baumgartner, sajber bezbjednosni istraživač iz Kaspersky Lab-a je izjavio da su među „nekoliko hiljada“ napadnutih organizacija bile i „ambasade, konuzulati i trgovinski centri.“ Većina zaraženih sistema se nalazila u Rusiji, gdje je Kaspersky indetifikovao 38 zaraženih uređaja, zatim Kazahstan sa 16 identifikovanih infekcija. Šest pogođenih uređaja je identifikovano u SAD.

Gospodin Baumgartner opisuje kampanju kao „sofisticiranu sa veoma strpljivim i višeslojnim naporima“ kako bi se ekstraktovale geopolitičke i povjerljive obavještajne informacije sa računara, mrežnih uređaja kao što su ruteri i svičevi, ali i pametni telefoni. Malware je bio kreiran kako bi preuzeo fajlove, emailove, šifre, snimao unose preko tastature i snimao slike ekrana, kao i za krađu istorije pretraživanja iz internet pretraživača Chrome, Firefox, Internet Explorer i Opera. Bio je sposoban i za krađu ugovora, istorije poziva, kalendara, tekstualnih poruka i istorije pretraživanja sa telefona, uključujući iPhonwe, Windows, Nokia, Sony i HTC telefone. Malware je sakupljao i informacije o instaliranom sofveru, kao što su Oracle baze, remote administrativni programi i programi za instant komunikaciju, kao što je program kreiran od strane Mail.Ru, ruske emailing kompanije.

Međutim iz Kasperskog kažu da je ono što ovaj slučaj izdvaja od ostalih činjenica, da su kreatori projektovali malware da krade fajlove koji su kriptovani povjerljivim softverom, Acid Cryptofiler, koji koristi nekoliko država u EU i NATO kako bi zaštitili povjerljive podatke.

Istraživači su otkrili nekoliko ruskih riječi u izvornom kodu malware, koji upućuju da su kreatori povezani sa ruskim govornim područjem. Na primjer, riječ „Zakladka“ se pojavljuje u malware, koja na ruskom i poljskom znači „zapis“. To je istovremeno i ruski sleng izraz za „skrivenu funkciju“ u kompjuterskom softveru ili hardveru. Interesantno je da se ovaj izraz odnosi i na „mikrofon sakriven u zidu zgrade ambasade“ (SAD i Rusija imaju istoriju međusobnog špijuniranja amabasada.)

Koliko je malware bio napredan, toliko je način kojim su ga proširili bio zaostao. Mašine su zaražene preko jednostavnog phishing napada u kojem su zaraženi fajlovi slati određenim organizacijama. Jednom otvoreni fajlovi, daju pun pristup sistemu hakerima preko dobro poznatih propusta, koji su prethodno korišteni u kamapnjama kineskih hakera kako bi špijunirali tibetanske aktiviste, kao i vojni i energetski sektor u Aziji.

Hakeri su koristili dobro poznate propuste ili iz lijenosti ili kao dobar način da sakriju svoje tragove, kaže gospodin Baumgartner.

Kaspersky kaže da su hakeri kreirali preko 60 domena i nekoliko serverskih lokacija, većinom u Njemačkoj i Rusiji, kako bi upravljali mrežom zaraženih računara. Ali ti računari su bili proxi serveri, dizajnirani za prikrivanje tragova „matice“, glavnog komandnog i kontrolnog servera.

Upitan zašto Kaspersky nije saopštio koje su organizacije ugrožene, gospodin Baumgartner je izjavio da je istraga još u toku.

Sajber bezbjednosnt je postala veoma značajna i rastuća briga na globalnom nivou, sa hakerima koji dobijaju pristup privatnim i vojnim tajnama i intelektualnom vlasništvu. Prošle godine, Kaspersky Lab je otkrio nekoliko virusa iza kojih stoje države, kao Flame, sofisticirani kompjuterski virus koji je špijunirao kompjutere u Iranu i Gauss, odvojeni virus koji je napadao libanske banke. Kompanija je tada saopštila da smatra da iza oba virusa stoje iste države koje su kreirale Stuxnet, virus koji je kreiran od strane SAD i Izraela.

Međutim Kaspersky nije tako otvoren za izjave kada virusi dolaze iz njegovog dvorišta, u Rusiji i okolnim zemljama, gdje kriminalci sa ruskog govornog područja kontrolišu trećinu globalnog sajber-kriminalnog tržišta, procijenjenog na 12 milijardi dolara prema firmi Group-IB.

Zadnje otkriće Kasperskog možda signalizira promjenu pravca. Firma je dala nadimak kampanji na ruskom „Operacija Crveni Oktobar“, skraćeno Rocra, zato što je prvi put malwarwe identifikovan u oktobru. Od tada kompanija je otkrila više od 1000 „modula“ ili komponentni ovog malware, sa najranijim kreiranom jos 2007 i najskorijim komponentama od prije nekoliko nedelja.

„Hakeri su uspjeli da ostanu u igri preko pet godina i da izbjegnu detekciju većine antivirusnih programa, istovremeno su kontinuirano nastavili da preuzimaju sada već više od nekoliko stotina terabajta podataka,“ kaže se u saopštenju Kasperskog.

Preuzetno sa NYTimes