Kaspersky Lab odkril »Operacijo NetTraveler«

Glede na Kaspersky Labo-vo poročilo je ta grožnja aktivna že vse od 2004. Največ aktivnosti pa je potekalo med letom 2010 in 2013. V zadnjem času je bila glavna domena skupine NetTraveler kibernetsko vohunstvo. Tako so se osredotočali na področja, kot so vesoljsko raziskovanje, nanotehnologija, proizvodnja energije, jedrska energija, laserji in medicina.

Metoda okužbe:
• Napadalci okužijo žrtve s pošiljanjem elektronske pošte z zlonamerno Microsoft Office opremo, ki je opremljena z visoko ranljivostjo (CVE-2012-0158 in CVE-2010-3333) po t.i. phishing metodi. Čeprav je Microsoft že izdal popravke za te ranljivosti, so še te ranljivosti vedno množično uporabljene. Zato se je ta oblika napada izkazala kot učinkovita.
• Naslovi zlonamernih priponk v elektronski pošti prikazujejo NetTraveler skupino kot zelo prilagodljivo, saj so glede na svoj usmerjeni napad prilagodili naslove priponk. Pomembnejši naslovi zlonamernih dokumentov so:
• Army Cyber Security Policy 2013.doc
• Report - Asia Defense Spending Boom.doc
• Activity Details.doc
• His Holiness the Dalai Lama’s visit to Switzerland day 4
• Freedom of Speech.doc

Podatkovno kraja & izvlek:
• Med Kaspersky Labo-vo analizo je strokovna ekipa pridobila okužene zapise loginov od številnih NetTraveler C&C strežnikov. Slednji so namenjeni temu, da na okuženi računalnik namestijo dodatne zlonamerne programe in nato izvlečejo podatke iz okuženega računalnika. Kaspersky Labov-i strokovnjaki so izračunali, da je na NetTravlerjev-i C&C strežnikih ukradenih za 22 gigabajtov podatkov.

• Izvlečeni oz. ukradeni podatki iz okuženih računalnikov tipično vključujejo različne PDF dokumente, Excel in Word dokumente ter tudi posamezna gesla. Dodatno je NetTraveler sposoben naložiti dodatni zlonamerni program, ki je preko zadnjih vrat (»backdoor« ), prišel do občutljivih točno določenih informacij.

Statistika:
• Glede na Kaspersky Lab analizo NetTraveler C&C strežnikov je bilo okuženih več kot 350 žrtev v 40 državah, vključno z Združenimi državami, Kanado, Veliko Britanijo, Rusijo, Čile, Maroko, Grčijo, Belgijo, Avstrijo, Ukrajino, Litvo, Belorusijo, Avstralijo, Hong Kong, Japonsko, Kitajsko, Mongolijo, Iran, Turčijo, Indijo, Pakistan, Južno Korejo, Tajsko, Katar, Kazahstan in Jordanijo.

• Kaspersky Labov-i strokovnjaki so skupaj z analizo C&C strežnikov in Kaspersky Security Network (KSN) identificirali dodatne informacije o okužbah. Najbolj okužena država je tako bila Mongolija. Sledila je Rusija, Indija, Kazahstan, Kirgizistan, Kitajska, Tadžikistan, Južna Koreja, Španija in Nemčija.

Dodatna odkritja:
• Med Kaspersky Labo-vo analizo NetTravelerja so strokovnjaki podjetja identificirali 6 žrtev, ki so bile okužene z NetTravelerjem in Red October. To je bila še ena kibernetsko-vohunska operacija analizirana s strani Kaspersky Laba v januarja 2013. Direktnih povezav med NetTravelerjevimi in Red Octoberskimi napadalci niso zaznali. Dejstvo, da so specifične žrtve okužene z obema kampanjama nakazuje, da so visoko profilne žrtve ciljane preko več različnih akterjev groženj.

Išči