Operatiunea NetTraveler
Echipa de experţi a Kaspersky Lab a publicat un nou raport de cercetare cu privire la NetTraveler, o familie de programe malware utilizate in operaţiuni de tip Advanced Persistent Threat (APT) pentru a compromite cu succes peste 350 de victime foarte importante din 40 de ţări diferite.
Gruparea NetTraveler a infectat victime din numeroase organizaţii, atât din sectorul public, cât şi din cel privat, inclusiv instituţii guvernamentale, ambasade, organizaţii din industria de petrol şi gaze, centre de cercetare, centre militare şi organizaţii de activişti.
Potrivit raportului Kaspersky Lab, această ameninţare este activă încă din 2004, însă cel mai mare volum de activitate s-a înregistrat în perioada 2010 – 2013. Cele mai importante domenii de interes pentru gruparea de spionaj cibernetic NetTraveler au inclus recent explorarea spaţială, nanotehnologia, producţia de energie, energia nucleară, tehnologia laser, medicina şi comunicaţiile.
Metode de infectare:
Atacatorii infectau sistemele victimelor trimiţând e-mailuri de tip spear-phishing, care conţineau ataşamente Microsoft Office echipate cu două vulnerabilități intens exploatate (CVE-2012-0158 și CVE-2010-3333). Chiar dacă Microsoft a lansat deja patch-uri pentru aceste vulnerabilități, ele sunt în continuare exploatate pe scară largă în atacuri targetate, dovedindu-se a fi eficiente.
Titlurile ataşamentelor maliţioase din e-mailurile de tip spear-phishing relevă eforturile grupării NetTraveler de a-şi adapta atacurile pentru a putea infecta ţintele foarte importante. Printre titlurile documentelor maliţioase se numără:
Army Cyber Security Policy 2013.doc
Report – Asia Defense Spending Boom.doc
Activity Details.doc
His Holiness the Dalai Lama’s visit to Switzerland day 4
Freedom of Speech.doc
Furtul şi extragerea de informaţii:
În cadrul analizei Kaspersky Lab, echipa de experţi a obţinut jurnalele de infectare de pe diferite servere de comandă şi de control (C&C) ale grupării NetTraveler. Serverele C&C erau utilizate pentru a instala un malware adiţional pe dispozitivele infectate şi pentru a extrage informaţiile furate. Experţii Kaspersky Lab au estimat cantitatea de informaţii furate stocate pe serverele de comandă şi de control ale NetTraveler ca fiind de peste 22 gigabytes.
Datele sustrase de pe sistemele infectate au inclus listări ale fişierelor, loguri de taste apăsate, dar şi alte tipuri de fişiere, cum ar fi PDF-uri, tabele Excel sau documente Word. În plus, toolkit-ul NetTraveler putea să instaleze un malware suplimentar de tip backdoor creat pentru sustragerea datelor, care putea fi personalizat pentru a fura alte tipuri de informaţii delicate, cum ar fi detalii de configurare pentru aplicaţii sau fişiere de proiectare asistată de calculator (CAD).
Statistici ale infectării globale:
Potrivit analizei Kaspersky Lab asupra serverelor de comandă şi control ale grupării NetTraveler, au existat, în total, 350 de victime în 40 de ţări diferite, inclusiv Statele Unite, Canada, Marea Britanie, Rusia, Chile, Maroc, Grecia, Belgia, Austria, Ucraina, Lituania, Belarus, Australia, Hong Kong, Japonia, China, Mongolia, Iran, Turcia, India, Pakistan, Coreea de Sud, Thailanda, Qatar, Kazakhstan şi Iordania.
Pe lângă analiza datelor cu privire la centrele ce control şi comandă, experţii Kaspersky Lab au folosit Kaspersky Security Network (KSN) pentru a identifica statistici suplimentare cu privire la infecţie. Primele 10 ţări după numărul de victime detectate de KSN au fost Mongolia, urmată de Rusia, India, Kazakhstan, Kyrgyzstan, China, Tajikistan, Coreea de Sud, Spania şi Germania.
