Un nou „Octombrie Roşu“? Campania de spionaj cibernetic „Operaţiunea NetTraveler” viza organizaţii guvernamentale şi institute de cercetare

NetTraveler a reuşit să fure 22 GB de informaţii FOTO Reuters

Echipa de experţi a Kaspersky Lab a publicat un nou raport de cercetare cu privire la NetTraveler, o familie de programe malware utilizate in operaţiuni de tip Advanced Persistent Threat (APT) pentru a compromite cu succes peste 350 de victime foarte importante din 40 de ţări diferite.

Gruparea NetTraveler a infectat victime din numeroase organizaţii, atât din sectorul public, cât şi din cel privat, inclusiv instituţii guvernamentale, ambasade, organizaţii din industria de petrol şi gaze, centre de cercetare, centre militare şi organizaţii de activişti, se arată într-un comunicat remis „Adevărul“.

Această ameninţare este activă încă din 2004, însă cel mai mare volum de activitate s-a înregistrat în perioada 2010 - 2013. Cele mai importante domenii de interes pentru gruparea de spionaj cibernetic NetTraveler au inclus recent explorarea spaţială, nanotehnologia, producţia de energie, energia nucleară, tehnologia laser, medicina şi comunicaţiile.

Cum acţiona reţeaua

Atacatorii infectau sistemele victimelor trimiţând e-mailuri de tip spear-phishing, care conţineau ataşamente Microsoft Office echipate cu două vulnerabilităţi intens exploatate. Chiar dacă Microsoft a lansat deja patch-uri pentru aceste vulnerabilităţi, ele sunt în continuare exploatate pe scară largă în atacuri targetate, dovedindu-se a fi eficiente.

Titlurile ataşamentelor maliţioase din e-mailurile de tip spear-phishing relevă eforturile grupării NetTraveler de a-şi adapta atacurile pentru a putea infecta ţintele foarte importante. Printre titlurile documentelor maliţioase se numără:  Army Cyber Security Policy 2013.doc, Report - Asia Defense Spending Boom.doc, Activity Details.doc, His Holiness the Dalai Lama’s visit to Switzerland day 4, Freedom of Speech.doc

Peste 22 GB de informaţie furată

În cadrul analizei Kaspersky Lab, echipa de experţi a obţinut jurnalele de infectare de pe diferite servere de comandă şi de control (C&C) ale grupării NetTraveler. Serverele C&C erau utilizate pentru a instala un malware adiţional pe dispozitivele infectate şi pentru a extrage informaţiile furate. Experţii Kaspersky Lab au estimat cantitatea de informaţii furate stocate pe serverele de comandă şi de control ale NetTraveler ca fiind de peste 22 gigabytes.

Datele sustrase de pe sistemele infectate au inclus listări ale fişierelor, loguri de taste apăsate, dar şi alte tipuri de fişiere, cum ar fi PDF-uri, tabele Excel sau documente Word. În plus, toolkit-ul NetTraveler putea să instaleze un malware suplimentar de tip backdoor creat pentru sustragerea datelor, care putea fi personalizat pentru a fura alte tipuri de informaţii delicate, cum ar fi detalii de configurare pentru aplicaţii sau fişiere de proiectare asistată de calculator (CAD).

350 de victime din 40 de ţări

Potrivit analizei Kaspersky Lab asupra serverelor de comandă şi control ale grupării NetTraveler, au existat, în total, 350 de victime în 40 de ţări diferite, inclusiv Statele Unite, Canada, Marea Britanie, Rusia, Chile, Maroc, Grecia, Belgia, Austria, Ucraina, Lituania, Belarus, Australia, Hong Kong, Japonia, China, Mongolia, Iran, Turcia, India, Pakistan, Coreea de Sud, Thailanda, Qatar, Kazakhstan şi Iordania.

Pe lângă analiza datelor cu privire la centrele ce control şi comandă, experţii Kaspersky Lab au folosit Kaspersky Security Network (KSN) pentru a identifica statistici suplimentare cu privire la infecţie. Primele 10 ţări după numărul de victime detectate de KSN au fost Mongolia, urmată de Rusia, India, Kazakhstan, Kyrgyzstan, China, Tajikistan, Coreea de Sud, Spania şi Germania. 

Vrem să discutăm cu voi, „Adevărul Tech“ este şi pe Facebook.