Что такое вирус красный октябрь

Обновлено: 24.04.2024

Компьютерный шпионаж

Около пяти лет хакеры из шпионской сети Red October похищали информацию из дипмиссий, исследовательских институтов и оборонных организаций по всему миру. Ведущий антивирусный эксперт "Лаборатории" Виталий Камлюк рассказал, как эксперты компании охотились за "Красным октябрем".

Сейчас исследователи знают о десятках разномастных вредоносных модулей, терабайтах похищенных данных и неизвестной команде профессионалов, стоявшей за этой атакой. А началось все с одного-единственного файла.

Администрация городской службы

История с Red October началась в октябре прошлого года, когда в "Лабораторию Касперского" обратился один из ее партнеров с просьбой проанализировать подозрительный файл, обнаруженный в своей компьютерной сети.

"К нам обратилась одна из организаций-партнеров компании с просьбой провести анализ одного исполняемого файла. Сами они в организации изначально думали, что эта целевая атака против них конкретно, но в итоге оказалось, что список жертв не ограничивается одной организацией", — рассказывает Виталий Камлюк.

О том, что это за учреждение, и какова область его деятельности в "Лаборатории", по просьбе самой организации, не говорят, отмечая лишь, что находится она не в русскоговорящей стране. Первичный анализ исполняемого файла экспертам почти ничего не дал — как в коллекции самой "Лаборатории Касперского", так и в общедоступных базах вредоносных программ похожего кода обнаружено не было. Однако в файле все же было за что "зацепиться", поскольку он содержал в себе IP-адрес сервера в интернете.

Операция Red October

Чтобы понять, как файл взаимодействует с сервером, эксперты "Лаборатории" создали виртуальную машину (копию обычного компьютера, созданную с помощью специального программного обеспечения) и запустили на ней исполняемый файл.

"Кое-какие "первичные" модули вскоре были заброшены. Они собирали и отсылали злоумышленникам информацию о том, какие программы установлены в нашей системе, какие флэш-накопители и мобильные устройства к ней подключались, подключен ли компьютер к локальной сети и прочее. В зависимости от результата, на компьютер забрасывались новые вредоносные модули под более узкие задачи", — рассказывает Камлюк.

Симуляция заражения компьютера вредоносной программой — обычная практика антивирусных исследователей. Таким образом экспертам удается выяснить функционал вируса и понять, как и с какими серверами он взаимодействует, какую информацию отсылает злоумышленникам.

Анализ поведения первых модулей дал экспертам "Лаборатории" представление о том, какого рода компьютеры и компьютерные сети интересны владельцам Red October. Но в компании подозревали, что модулей существует больше тех нескольких экземпляров, что загрузились на первый виртуальный компьютер.

"Чтобы понять цели и масштабы атаки, нам нужно было собрать как можно больше вредоносных модулей, участвующих в ней. Для этого мы создали виртуальную сеть компьютеров, якобы принадлежащую администрации некоей городской службы. Как выяснилось, — как раз то, что искали злоумышленники", — объясняет Камлюк.

Администраторы Red October на наживку экспертов клюнули — в виртуальную сеть несуществующей городской службы стали один за другим загружаться вредоносные модули под самые разные задачи. Исследователи создали еще несколько подобных сетей и, по словам Камлюка, в итоге в руках аналитиков "Лаборатории" оказалось более тысячи уникальных вредоносных файлов.

34 из 1000

Даже когда стало ясно, что владельцы Red October явно не стремятся создать бот-сеть для рассылки спама, проведения DDoS-атак или хищений денег с банковских счетов, как в случае с большинством вредоносных программ, в "Лаборатории" не спешили впадать в шпионскую паранойю и искали наиболее прозаичное объяснение такому количеству вредоносных программ.

В частности, поначалу эксперты предположили, что вся эта тысяча уникальных файлов — просто несколько разных вредоносных программ, но по-разному зашифрованных. Киберпреступники часто перешифровывают одну и ту же вредоносную программу, чтобы добиться временной "невидимости" вируса для ряда антивирусных программ. Однако в случае с Red October эта теория не выдержала критики.

"Слишком уж они по размерам отличались, было видно, что очень большая часть этого массива файлов относится к разным типам. Мы стали анализировать, пытаться сгруппировать файлы по схожим признакам и в итоге поняли, что к чему", — рассказывает Виталий Камлюк.

В результате анализа, на который, по словам эксперта, ушло несколько недель, исследователи выявили 34 различных вредоносных модуля с самым разным назначением — от простого сбора статистики и поиска информации до взлома сетевого оборудования, смартфонов на операционных системах Windows Mobile, iOS, Symbian и восстановления уничтоженных файлов.

Вирусы на все случаи жизни

Анализ поведения модулей, собранных в ходе исследования, помог экспертам понять анатомию, цели и масштабы атаки Red October. Выводы не оставили шансов ни одной теории о назначении атаки, кроме шпионской.

Проникновение в атакуемую сеть начиналось с социальной инженерии — на компьютер жертвы посылался файл Word или таблица Excel с внедренным вредоносным кодом, который исполнялся как только пользователь открывал такой файл. Тематика рассылаемых документов подбиралась так, чтобы привлечь внимание адресата. По ней же можно примерно представить, какие именно организации попали в прицел злоумышленников.

Операция Red October

В исследовании "Лаборатории Касперского" фигурируют примеры Word-документа с объявлением о продаже подержанного автомобиля с дипломатическими номерами, а также таблиц Excel с названиями типа spisok sotrudnikov, list of shahids, Katyn — opinia Rosjan и другими заголовками, явно направленными на привлечение внимание специфической аудитории. Список атакованных организаций соответствующий — в основном это посольства в разных уголках мира.

Заразив один компьютер, злоумышленники — с помощью дополнительных модулей — искали все возможные способы углубиться в атакуемую сеть. В частности, некоторые модули пытались выяснить, есть ли в атакованной организации изолированные сети. Такие сети используются для обмена конфиденциальными документами и обычно либо не подключены к интернету, либо их наличие скрывается с помощью особой конфигурации сетевого оборудования. Как говорят в "Лаборатории Касперского", злоумышленники активно их искали.

"Если признаки присутствия такой сети обнаруживались, то администраторы Red October скорее всего пытались изменить конфигурацию сетевого оборудования так, чтобы открыть внешний доступ в закрытую сеть, либо загружали на один из подключенных к интернету компьютеров комплект модулей, созданных специально для похищения данных с изолированных ПК", — рассказывает Камлюк.

Такие модули копировали себя на съемный флеш-накопитель, и когда позже его подключали к компьютеру, находящемуся в закрытой сети, они заражали машину, копировали нужную информацию и ждали "возвращения" на исходный компьютер, чтобы передать данные злоумышленникам.

"Несмотря на то, что модули, заражающие флешки, так и не были обнаружены, у нас есть основания полагать, что они все же существуют — мы нашли модули, копирующие файлы с флешки и передающие их на центр управления. Так вот на флешку эти файлы помещались с помощью какого-то другого, неизвестного нам пока модуля", — говорит эксперт.

"Модули, ответственные за сбор данных, имели инструкции по названиям файлов, их типу и размеру. Например, мы видели требование, чтобы офисный документ не был больше двадцати мегабайт и не старше одного месяца", — поясняет Виталий Камлюк.

По мнению эксперта, использование ограничений связано, прежде всего, со стремлением атакующих минимизировать количество "мусорных" файлов, которые затруднили бы последующую обработку полученных данных, а также не вызывать у пользователя зараженного компьютера, подозрений о том, куда делось свободное место на диске.

Ручной анализ

В распоряжении злоумышленников, организовавших атаку Red October, были самые разные программные средства для автоматического поиска и похищения больших объемов данных, однако промежуточный анализ собранных данных явно проводили люди, считают в "Лаборатории Касперского".

Один из файлов, использованных в ходе фишинговых атак

Один из зарубежных партнеров российской компании рассказывал, что уже сталкивался с модулями Red October до октября 2012. Им удалось получить информацию о методах работы злоумышленников.

"По словам наших зарубежных коллег, модули, за которыми они наблюдали, не всегда были активны. В один день исследователи регистрировали активную передачу данных, а потом несколько дней ничего не происходило. Вероятно потому, что злоумышленникам требовалось время на обработку полученной информации", — рассуждает Камлюк.

Свидетельства промежуточного анализа регистрировались и в ходе исследования в самой "Лаборатории Касперского". Сначала первичные модули отсылали администраторам Red October файлы с описанием всего, что есть на зараженном компьютере. Через некоторое время на компьютер загружался дополнительный модуль, который забирал лишь часть файлов из тех, информация о которых содержалась в описании.

"Очевидно, что первые данные должен был анализировать живой аналитик. Вероятно, по итогам анализа он сообщал о наличии ценных файлов менеджеру, а тот уже инструктировал программистов, под похищение каких данных разрабатывать очередной модуль", — говорит Камлюк.

По сходной схеме злоумышленники действовали, если удавалось обнаружить хэши паролей (их зашифрованные в целях безопасности значения, хранящиеся в памяти компьютера) от учетных записей на зараженном компьютере. Если хэши удавалось расшифровать, то через некоторое время на компьютер загружался специальный модуль с текстовым файлом, в котором хранились расшифрованные логины и пароли. Их злоумышленники использовали для дальнейшего заражения атакуемой сети.

"Хакеру-одиночке такой объем работы не под силу. Речь идет о команде, причем профессиональной", — считает Камлюк.

Профессиональная команда

По мнению Виталия Камлюка, чтобы заставить Red October эффективно работать, организаторам атаки нужен был постоянный штат размером в 10-20 специалистов, большинство из которых должно было обладать богатой экспертизой в области программирования.

"Один из модулей способен вытаскивать с флеш-накопителя даже те файлы, которые его владелец уже удалил. Чтобы написать такую программу, автору надо было полностью реализовать логику работы с файловой системой FAT. Не углубляясь в технические детали, скажу, что студент-программист на такое вряд ли способен", — говорит Камлюк.

Опыта и обширных знаний требовали и многие другие задачи, реализованные в Red October. В частности, модуль для конфигурации маршрутизатора, используемого в атакуемой организации, требует от программиста глубоких знаний в области сетевого оборудования — это еще один высококлассный специалист, без которого Red October не была бы эффективна.

Авторы вредоносного ПО, использовавшегося при этой атаке, вообще не похожи на "обычных" вирусописателей, отмечает Камлюк. Скорее на подготовленных программистов.

"Обычно, когда изучаешь код очередного вредоноса, видно, из какой среды его автор. Те, кого принято называть киберпреступниками, обычно используют специфическую лексику — слова, типа "бот", "троян", "заражение" и другие. В случае с Red October ничего подобного мы не нашли. Зато находили, например, отладочные логи, что опять таки больше свойственно программистам, а не вирусописателям", — рассказывает Камлюк.

Русский английский

Хотя хакерского жаргона в строчках кода модулей Red October исследователи из "Лаборатории Касперского" не нашли, некоторые лингвистические открытия все же случились. Например, в коде двух модулей были обнаружены слова Proga и Zakladka — явная транслитерация с русских слов "прога" (сокращенно от программа) и "закладка" (жаргонное определение скрытого функционала в программе или оборудовании). Были и другие свидетельства русскоязычного происхождения авторов вредоносных модулей, использовавшихся в атаке.

"В коде других модулей часто используется глагол to succeed, которым обозначается успешное исполнение операции. Правда, употребляется несуществующая форма этого слова — successed. Этакий Runglish. В общем, код писали явно не носители английского языка", — поясняет Камлюк.

По мнению эксперта, эта ошибка вкупе с употреблением русских слов, написанных латиницей, дает основания полагать, что авторами программных модулей могли быть специалисты, говорящие по-русски. Являются ли они гражданами России, выходцами из бывшего СССР или соседних стран, определить пока не удалось.

Кто и зачем?

Надеяться на то, что кто-то из авторов вредоносных модулей раскроет имена организаторов атаки, скорее всего, бессмысленно, считает Камлюк.

"Не исключено, что авторы модулей могли и не знать о том, как будет использована программы, разработку которых им заказали. Если конечно, для Red October привлекались фрилансеры, а не полноценный штат экспертов. К примеру, организатор анонимно заказал программисту написать программу для восстановления данных, удаленных с флеш-накопителя. Программист просто пишет код, который может быть использован по-разному", — объясняет Камлюк.


На протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа, во время которой собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций.

Несколько месяцев эксперты ‘Лаборатории Касперского’ анализировали вредоносные файлы, использованные в атаке, которая была нацелена на конкретные организации в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки.


Эта операция, которую мы назвали ‘Red October’ (в сокращении ‘Rocra’) продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.

Несколько ключевых фактов, обнаруженных в ходе нашего расследования:

  • Атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира.
  • Информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях.
  • Для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном в Германии и России).
  • Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные.
  • Многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации (детектируются ‘Лабораторией Касперсого’ как Backdoor.Win32.Sputnik). Система также имеет механизм противодействия закрытию серверов управления и позволяет атакующим восстановить доступ к зараженным системам, используя альтернативные каналы связи.
  • Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудования (Cisco); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.
  • Мы обнаружили использование как минимум трех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word). В 2010-2011 годах в известных нам атаках использовались эксплойты для MS Excel, с лета 2012 года начались атаки с использованием уязвимости в MS Word.




Один из файлов, использованных в ходе фишинговых атак.

Что такое Red October?

Red October — это серия целевых атак, которые происходили как минимум на протяжении последних пяти лет. В ходе этой операции по всему миру были атакованы сотни жертв. Атакованные организации относятся к 8 категориям:

  1. Правительственные структуры
  2. Дипломатические ведомства/посольства
  3. Исследовательские институты
  4. Торговые и коммерческие структуры
  5. Ядерные/энергетические исследования
  6. Нефтяные и газовые компании
  7. Аэрокосмическая отрасль
  8. Военные ведомства и компании, связанные с созданием вооружений

Весьма возможно, что существуют и другие категории организаций-мишеней, которые еще не были нами выявлены или были атакованы в прошлом.

Как и когда эта операция была обнаружена?

Мы начали наше исследование атак в октябре 2012 года по просьбе одного из наших партнеров. В ходе анализа атаки, писем и вредоносных модулей, мы обнаружили истинные размеры кампании и начали её полномасштабное расследование.

Кто предоставил вам вредоносные файлы?

Мы получили их от нашего партнера, который и был заказчиком исследования. Он предпочитает оставаться анонимным.

Как много зараженных систем было обнаружено ‘Лабораторией Касперского’? Сколько всего может быть жертв? Каков размах операции Red October в глобальном масштабе?

За последние месяцы мы обнаружили несколько сотен заражений по всему миру — все жертвы относятся к организациям высокого ранга, таким, например, как правительственные сети и дипломатические структуры. Заражения мы идентифицировали, в основном, в Восточной Европе и странах бывшего СССР, однако есть жертвы в Средней Азии, Северной Америке и в странах Западной Европы, например, в Люксембурге и Швейцарии.

Основываясь на данных, полученных при помощи Kaspersky Security Network (KSN), мы составили список стран с наибольшим количеством заражений Backdoor.Win32.Sputnik (включены страны с 5 и более заражениями):

Страна

Число заражений

Статистика, собранная при помощи технологии sinkhole, приведена ниже.

Кто скрывается за этой атакой? Эти атаки были организованы при поддержке какого-то государства?

Информация, которой мы обладаем, не дает возможности прямого определения какого-либо специфического источника атаки, однако мы выделяем два важных факта:

  • Используемые эксплойты изначально были созданы китайскими хакерами.
  • Вредоносные модули Red October были созданы русскоязычными специалистами.

В настоящий момент у нас нет фактов, свидетельствующих о прямом участии в этой атаке какого-либо государства. Информация, украденная атакующими, очевидно является крайне конфиденциальной и включает в себя, в частности, различные геополитические данные, которые могут быть использованы на государственном уровне. Такая информация может быть выставлена на торги на ‘черном рынке’ и продана любому, кто предложит наиболее высокую цену.

Есть какие-нибудь интересные тексты в файлах, на основании которых можно предположить происхождение атакующих?

Несколько модулей содержат интересные опечатки и ошибки:

Использованное здесь слово PROGA, возможно, является транслитерацией русского слова ПРОГА, которое на жаргоне русскоговорящих программистов означает буквально приложение или программу.

Слово ‘Zakladka’ имеет два значения в русском языке:

  • Книжная закладка
  • Специфический термин в отношении скрытого функционала в программе или устройстве. Так же можно назвать микрофон, спрятанный внутри кирпича в стене посольства.
  • conn_a.D_CONN
  • conn_a.J_CONN
  • conn_a.D_CONN
  • conn_a.J_CONN

Какая информация похищается из зараженных систем?

Информация включает в себя документы с расширениями:

Что является целью операции? Что они искали, проводя эти атаки так много лет?

Основной целью операции, как представляется, является сбор секретной информации и геополитических данных, хотя, по-видимому, информация собирается достаточно разнообразная. За последние пять лет атакующие украли данные у сотен организаций высокого ранга, и неизвестно, как эта информация была использована.

Каков механизм заражения? Имеется ли функционал самораспространения? Как это работает?

В общем, платформа создана для выполнения ‘задач’, которые поступают от серверов управления. Большинство таких ‘задач’ представляют собой PE DLL библиотеки, которые загружаются с сервера, исполняются в памяти компьютера без создания файлов на диске и ‘исчезают’ после выполнения работы.

Некоторые задачи, впрочем, требуют постоянного наличия в системе файлов, которые, например, ожидают подключения телефонов iPhone или Nokia. Такие задачи выполняются при помощи PE EXE файлов, установленных в систему.

Примеры постоянных задач

Примеры одноразовых задач

Платформа была разработана атакующими с нуля и не использовалась в каких-либо других известных нам операциях.

Известно несколько модулей, которые созданы для кражи данных с нескольких типов устройств/операционных систем:

Эти модули устанавливаются в систему и ожидают подключения к ней мобильного устройства. После подключения устройств модули начинают сбор данных с мобильных телефонов.

Мы не исключаем существования модулей для устройств на базе Android или телефонов BlackBerry, но в настоящий момент нами они не обнаружены.

Сколько вариантов модулей и вредоносных файлов было обнаружено в ходе расследования операции Red October?

В ходе расследования мы обнаружили более 1000 файлов, относящихся к 30 различным группам модулей. Все они были созданы в период с 2007 года по начало 2013, а самые свежие датированы 8 января 2013 года.

Вот полный список известных модулей Backdoor.Win32.Sputnik и их категорий:


Эти атаки осуществлялись точечно против избранных целей высокого ранга, или они были рассчитаны на широкий круг организаций/жертв?

Все атаки были тщательно подготовлены со знанием специфики целей. Например, все исходные файлы документов были модифицированы и снабжены уникальными модулями, скомпилированными с уникальным ID цели.

Далее, использовался высокий уровень взаимодействия между атакующими и зараженным объектом — операция разворачивалась в зависимости от того, какая конфигурация на компьютере и в сети жертвы, какие типы документов используются, какие установлены приложения на рабочей станции, какой родной язык жертвы и так далее.

В сравнении с кампаниями кибершпионажа Flame или Gauss, которые были значительно автоматизированы, атаки Red October более ‘персональные’ и ориентированы на конкретных жертв.

Это как-то связано с вредоносными программами Duqu, Flame и Gauss?

Говоря кратко, мы не обнаружили никаких связей между Red October и Flame/Tilded платформами.

Можно как-то сравнить операцию Red October c похожими кибершпионскими операциями, такими как Aurora или Night Dragon? Есть значительные отличия или сходство?

В сравнении с Aurora и Night Dragon, Red October гораздо более сложная и комплексная операция. В ходе расследования мы обнаружили более 1000 уникальных файлов из 30 различных групп модулей Backdoor.Win32.Sputnik. Aurora и Night Dragon использовали более простые вредоносные программы для кражи информации, чем Red October.

Кроме того, в ходе операции Red October атакующие умудрились оставаться ‘в игре’ больше 5 лет, избегая детектирования со стороны большинства антивирусных решений и, по нашей оценке, похитив к настоящему времени сотни терабайт информации.

Как много серверов управления использовалось? Провели ли вы их исследования?

В ходе расследования мы обнаружили более 60 доменных имен, использованных атакующими для контроля и получения данных жертв. Домены размещались на нескольких десятках IP-адресов, расположенных в основном в Германии и России.

Это схема инфраструктуры операции, которую мы наблюдали в ходе нашего анализа в конце 2012 года:


Более детальная информация о серверах управления будет опубликована нами позднее.

Осуществляли ли вы sinkhole каких-нибудь Command & Control серверов?

Да, нам удалось ‘перехватить’ шесть из более чем 60 доменов, использованных в разных вариантах бэкдора. В ходе мониторинга в период со 2 ноября 2012 по 10 января 2013 года мы зарегистрировали более 55 000 подключений к нашему sinkhole. Общее количество различных IP-адресов, с которых происходили сеансы подключений, составляет 250.

С точки зрения географического распространения этих подключений мы установили 39 стран. Наибольшее количество IP-адресов было в Швейцарии. Казахстан и Греция на втором и третьем местах.


Статистика Sinkhole — 02.11.2012 — 10.01.2013В ходе этого расследования взаимодействует ли ‘Лаборатория Касперского’ с правительственными организациями, Computer Emergency Response Teams (CERTs), правоохранительными органами или компаниями по безопасности?

‘Лаборатория Касперского’, в сотрудничестве с международными организациями, правоохранительными органами, национальными Computer Emergency Response Teams (CERTs) и другими IT security компаниями, продолжает расследование операции Red October, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.

‘Лаборатория Касперского’ выражает благодарность US-CERT, CERT Румынии и CERT Беларуси (Оперативно-аналитический центр при Президенте Республики Беларусь) за их помощь в этом расследовании.


"Лаборатория Касперского" объявила о раскрытии масштабной шпионской сети. Вирус "Красный Октябрь" пять лет атаковал компьютерные системы правительственных организаций. Под прицелом оказались посольства, ядерные исследовательские центры, аэрокосмические организации, нефтяные и газовые компании. Ни зашифрованные, ни даже стертые файлы не останавливали программу.

Первый персональный компьютер, сошедший с конвеера задумывался, как помощник человека, коим он является и сегодня, но уже с рядом оговорок. Заставить любой ноутбук шпионить за своим хозяином можно всего в несколько кликов. Едва утих скандал после неуклюжей кибератаки американских спецслужб на Елисейский дворец — тогда использовался вирус Флейм — и вот следующий виток. В глобальной сети специалисты российской "Лаборатории Касперского" обнаружили новый вредоносный код "Красный Октябрь".

"Первые данные к нам поступили в октябре 2012 года. Один из наших партнеров прислал нам зараженный файл, после его изучения мы поняли что имеем дело с таргетированной атакой, хорошо спланированной. По типу файлов стало понятно, что злоумышленников интересовали в основном документы, а среди жертв числились серьезные организации: посольства стран Восточной Европы, нефтедобывающие компании и научно исследовательские институты. Эта версия вируса отличается в основном массированностью написанного вредоносного кода. Прослеживается работа российских программистов", — прокомментировал новый вирус ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк.

Зона вирусного поражения — это почти половина земного шара. Похоже, что с таким размахом кибершпионы действуют впервые. Оказывается, что тотальная слежка за различными госструктурами и международными компаниями велась целых пять лет. Кроме того, хакеры изрядно поработали с секретной информацией на жестких дисках, прослушивались и телефоны.

"Данная гипершпионская сеть существовала на протяжении пяти лет и в данный момент включает в себя более чем 300 различных организаций из ряда стран Восточной Европы, Азии, Африки, и Северной Америки. На территории этих стран находятся зараженные компьютеры и сети, однако они принадлежат в большинстве своем дипломатическим ведомствам и государственным структурам. То есть это могут быть посольства иных стран, просто находящиеся на территории, например, Африки", – объяснил Камлюк.

Заражение вирусом шло через электронную почту. Жертва получала письмо с предложением приобрести подержаный автомобиль. После скачивания файла "Красный октябрь" проникал в систему и сразу же начинал шпионить. Причем информация также собиралась со всех подключенных по сети машин, флеш-носителей и даже мобильных телефонов. Затем данные отправлялись на сервер хакеров, но не напрямую, а через обширную сеть серверов-прикрытия. Отследить такой интернет-маневр практически невозможно.

Наглость виртуальных бандитов отчетливо просматривается и сквозь список пострадавших: в нем НАТО, ядерные объекты Европы, космические институты бывших союзных республик и другие солидные учреждения, казалось бы, с серьезной защитой. Специалисты говорят, что создать такой вирус теоретически могли китайцы, но есть в нем и явный российский след. В программном коде "Красного Октября" всплыли слова, русского происхождения, например, "прога", что на it-сленге означает "программа". Правда, и таким уликам верить не стоит: не исключено, что именно так кто-то умело заметает следы. Между тем, "Красный Октябрь" продолжает шествие по планете, преступники не найдены, поэтому выяснить, кто следующий, сейчас гораздо важнее, чем кто это сделал.


Случаи острого гепатита у детей выявлены в Великобритании, Ирландии, Нидерландах, Дании и Испании, а также в США. Большинство заболевших, а их около сотни, – дети в возрасте от двух до пяти лет.

Что это за болезнь, никто не понимает. Происхождение острого гепатита до сих пор неизвестно. Специалисты Европейского центра по профилактике и контролю заболеваний в настоящее время проводят различные тесты, чтобы установить причины вспышек.

Гепатит – воспаление печени, обычно вызванное вирусной инфекцией. Однако, например, в Мадриде при обследовании в Университетской больнице Ла-Паса лабораторные анализы не выявили у детей вирусов гепатита A, B, C, D или E. Болезнь также может развиться после отравления, пищевого или лекарственного. Но о токсической природе недуга можно говорить, когда вспышка локальна. В данном случае речь идет о совершенно разных регионах, разных странах. Отсюда рождается еще одна версия об аутоиммунных причинах заболевания.

"Что может повреждать печень? Это может быть либо что-то аутоиммунное, либо что-то фармакологическое, фармацевтическое. Как такая квинтэссенция – это смесь фармацевтики и аутоиммунного проявления – это тотальная вакцинация. И это может быть одним из побочных эффектов", – отметил Волчков.

Например, вакцины от коронавируса Pfizer содержат так называемые ПЭГ-оболочки. Недавние исследования показали, что к полиэтиленгликолю может вырабатываться иммунитет. В свою очередь, это может вызвать аллергические или аутоиммунные реакции ко всему, что содержит данное вещество.

Еще одна ниточка ведет расследователей к аденовирусам. Они были обнаружены у многих из заболевших гепатитом детей. Американские медики изучают связь с одним конкретным возбудителем – аденовирусом 41 серотипа, который обычно провоцирует воспаление кишечника – так называемый аденовирусный энтерит.

Загадочная болезнь протекает тяжело. Хирург из медицинского центра в нидерландском Гронингене сообщил, что трем из четырех детей, которые проходили у него лечение, пришлось делать трансплантацию печени.

Читайте также: