Kaspersky Lab a descoperit „Operatiunea NetTraveler”, o campanie de spionaj cibernetic la nivel global care a avut ca tinte organizatii guvernamentale si institute de cercetare

Echipa de experti a Kaspersky Lab a publicat un nou raport de cercetare cu privire la NetTraveler, o familie de programe malware utilizate in operatiuni de tip Advanced Persistent Threat (APT) pentru a compromite cu succes peste 350 de victime foarte importante din 40 de tari diferite. Gruparea NetTraveler a infectat victime din numeroase organizatii, atat din sectorul public, cat si din cel privat, inclusiv institutii guvernamentale, ambasade, organizatii din industria de petrol si gaze, centre de cercetare, centre militare si organizatii de activisti.

Potrivit raportului Kaspersky Lab, aceasta amenintare este activa inca din 2004, insa cel mai mare volum de activitate s-a inregistrat in perioada 2010 – 2013. Cele mai importante domenii de interes pentru gruparea de spionaj cibernetic NetTraveler au inclus recent explorarea spatiala, nanotehnologia, productia de energie, energia nucleara, tehnologia laser, medicina si comunicatiile.

Metode de infectare:

  • Atacatorii infectau sistemele victimelor trimitand e-mailuri de tip spear-phishing, care contineau atasamente Microsoft Office echipate cu doua vulnerabilitați intens exploatate (CVE-2012-0158 si CVE-2010-3333). Chiar daca Microsoft a lansat deja patch-uri pentru aceste vulnerabilitați, ele sunt in continuare exploatate pe scara larga in atacuri targetate, dovedindu-se a fi eficiente.
  • Titlurile atasamentelor malitioase din e-mailurile de tip spear-phishing releva eforturile gruparii NetTraveler de a-si adapta atacurile pentru a putea infecta tintele foarte importante. Printre titlurile documentelor malitioase se numara:
    • Army Cyber Security Policy 2013.doc
    • Report – Asia Defense Spending Boom.doc
    • Activity Details.doc
    • His Holiness the Dalai Lama’s visit to Switzerland day 4
    • Freedom of Speech.doc

Furtul si extragerea de informatii:

  • In cadrul analizei Kaspersky Lab, echipa de experti a obtinut jurnalele de infectare de pe diferite servere de comanda si de control (C&C) ale gruparii NetTraveler. Serverele C&C erau utilizate pentru a instala un malware aditional pe dispozitivele infectate si pentru a extrage informatiile furate. Expertii Kaspersky Lab au estimat cantitatea de informatii furate stocate pe serverele de comanda si de control ale NetTraveler ca fiind de peste 22 gigabytes.
  • Datele sustrase de pe sistemele infectate au inclus listari ale fisierelor, loguri de taste apasate, dar si alte tipuri de fisiere, cum ar fi PDF-uri, tabele Excel sau documente Word. In plus, toolkit-ul NetTraveler putea sa instaleze un malware suplimentar de tip backdoor creat pentru sustragerea datelor, care putea fi personalizat pentru a fura alte tipuri de informatii delicate, cum ar fi detalii de configurare pentru aplicatii sau fisiere de proiectare asistata de calculator (CAD).

Statistici ale infectarii globale:

  • Potrivit analizei Kaspersky Lab asupra serverelor de comanda si control ale gruparii NetTraveler, au existat, in total, 350 de victime in 40 de tari diferite, inclusiv Statele Unite, Canada, Marea Britanie, Rusia, Chile, Maroc, Grecia, Belgia, Austria, Ucraina, Lituania, Belarus, Australia, Hong Kong, Japonia, China, Mongolia, Iran, Turcia, India, Pakistan, Coreea de Sud, Thailanda, Qatar, Kazakhstan si Iordania.
  • Pe langa analiza datelor cu privire la centrele ce control si comanda, expertii Kaspersky Lab au folosit Kaspersky Security Network (KSN) pentru a identifica statistici suplimentare cu privire la infectie. Primele 10 tari dupa numarul de victime detectate de KSN au fost Mongolia, urmata de Rusia, India, Kazakhstan, Kyrgyzstan, China, Tajikistan, Coreea de Sud, Spania si Germania.

nettraveler

Descoperiri suplimentare

  • In timpul analizei Kaspersky Lab asupra NetTraveler, expertii companiei au identificat sase victime care au fost infectate atat de NetTraveler, cat si de Red October, o alta operatiune de spionaj cibernetic analizata de Kaspersky Lab in luna ianuarie 2013. Desi nu a fost identificata nicio legatura directa intre atacatorii NetTraveler si actorii implicati in operatiunea Red October, faptul ca anumite victime au fost afectate de ambele campanii de spionaj cibernetic demonstreaza ca aceste victime foarte importante sunt tinta mai multor atacatori din cauza ca informatiile pe care le detin sunt foarte valoroase.

Raportul complet al analizei Kaspersky Lab, inclusiv indicatorii compromiterii, tehnicile de remediere si detaliile cu privire la operatiunea NetTraveler cu toate componentele sale malitioase, este disponibil pe Securelist.

Produsele Kaspersky Lab detecteaza si neutralizeaza programele malitioase si toate versiunile folosite de Toolkit–ul NetTraveler, inclusiv Trojan-Spy.Win32.TravNet si Downloader.Win32.NetTraveler. Produsele Kaspersky Lab detecteaza exploit-urile Microsoft Office folosite in atacurile de tip spear-phishing, inclusiv Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply