Kaspersky Lab otkriva ‘Operaciju NetTraveler,’ globalnu sajberšpijunsku kampanju koja napada vladine organizacije i istraživačke institute

Maliciozni NetTraveler Toolkit zarazio 350 žrtava visokog profila kako bi preuzimao njihove private podatke i nadzirao im rad

Kasperski Lab tim nedavno je objavio novi izveštaj o rezultatima istraživanja o virusu NetTraveler, koji pripada porodici zlonamernih programa koji koriste APT žrtve, a već je uspešno zarazio više od 350 žrtava visokog profila u 40 zemalja. NetTraveler je napao više objekata kako u javnom i privatnom sektoru, uključujući vladine institucije, ambasade, naftne i gasne kompanije, istraživačke centre, vojne institucije i aktiviste.

Prema izveštaju kompanije Kasperski Lab, ova vrsta pretnje aktivna je još od 2004. godine, ali je najveći obim aktivnosti imala od 2010 – 2013 . Nedavno su glavne oblasti interesovanja NetTraveler Grupe postala istraživanja svemira, nanotehnologija, proizvodnja energije, nuklearna energija, laseri, medicina i komunikacije.

Metodi zaraze:

 

  • Napadači inficiraju žrtve slanjem pametne pfišing e-mail poruke koje poseduju dve slabosti (CVE-2012-0158 i CVE-2010-3333). Iako je kompanija Micorsoft već izdala zakrpe za ove slabosti, one su još uvek iskoristive i to sa velikom efikasnošću po napadače.

 

  • Naslovi zlonamernih priloga u porukama sjajno oslikavaju kako NetTravel grupa prilagođava svoje napore u cilju dosezanja do žrtava visokog profila. Poznati naslovi zlonamernih dokumenata obuhvataju :

 

    • Army Cyber Security Policy 2013.doc (vojna sajberbezbednost)
    • Report – Asia Defense Spending Boom.doc (Izveštaj o azijskom bumu za vojnu potrošnju)
    • Activity Details.doc (detalji aktivnosti)
    • His Holiness the Dalai Lama’s visit to Switzerland day 4 (POseta Dalaj Lame Švajcarskoj)
    • Freedom of Speech.doc (sloboda govora)

 

Krađa podataka & eksfiltracija:

  • Tokom analize koju je obavila kompanija Kasperski Lab, njen tim eksperata dobio je log o infekciji iz nekoliko NetTraveler komandi i kontrolnih servera (C&C). C&C serveri se koriste za instalaciju dodatnih zlonamernih programa na zaraženim računarima i eksfiltraciju ukradenih podataka. Eksperti kompanije Kasperski Lab izračunali su količinu ukradenih podataka uskladištenih na NetTraveler je C&C server kao veću od 22 gigabajta.
  • Eksfiltrovani podaci iz zaraženih računara obično uključuju sistemske listinge, keyloggs, i razne vrste fajlova, uključujući PDF datoteke, Excell datoteke, Word dokumente i fajlove. Pored toga, NetTraveler alatke su uspeleda instaliraju dodatne programe koji su omogućili prilagođavanje za krađu drugih vrsta osetljivih informacija kao što su konfiguracijski detalji za aplikacije ili računarski fajlovi.

Globalna statistika infekcije:

  • Na osnovu Kasperski Lab analize C&C podataka NetTraveler grupe, detektovano je ukupno 350 žrtava u 40 zemalja širom SAD, Kanade, Velike Britanije, Rusije, Čilea, Maroka, Grčke, Belgije, Austrije, Ukrajine, Litvanije, Belorusije, Australije, Hongkonga, Japana, Kine, Mongolije, Irana, Turske, Indije, Pakistana, Južne Koreje , Tajlanda, Katara, Kazahstana, i Jordana.

 

  • U toku analize C&C podataka , Kasperski Lab stručnjaci su, koristeći Kasperski Securiti Network (KSN) identifikovati dodatne statistike infekcije. Prvih deset zemalja sa žrtvama koje su otkrili sa KSN su Mongolija, Rusija, Indija, Kazahstan, Kirgistan, Kina, Tadžikistan, Južna Koreja, Španija i Nemačka.

 

Dodatni nalazi

 

  • Tokom analize eksperti Kasperski Lab identifikovali su šest žrtava koje su zaražene i od NetTraveler i Red October malvera, koji je bio jedna od operacija sajberešpijunaže koju je analizirao Kasperski Lab u januaru 2013 . Iako nema direktne veze između NetTraveler i Red October napada, činjenica da su targetirane određene žrtve kroz obe ove kampanje ukazuje na to da su ovi žrtve visokog profila na meti više aktera, jer su njihoveinformacije dragocena roba napadačima .

 

Za pristup punoj analizi kompanije Kaspersky Lab, uključujući iscrpne podatke i tehnike pomoći ili detalje o NeTraveler i njegovim komponentama posetite sajt Securelist.

Porizvodi kompanije Kaspersky Lab detektuju i neutrališu maliciozne programe i njihove varijante koji potiču od NetTraveler Toolkit-a, uključujući Trojan-Spy.Win32.TravNet i Downloader.Win32.NetTraveler. Kaspersky Lab proizvodi brišu slabosti Microsoft Office paketa koji se kroiste za pfišing napade, poput Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158.