28 sierpnia 2014

NetTraveler funduje sobie lifting na 10 urodziny

W tym roku osoby stojące za globalną kampanią cyberszpiegowską NetTraveler obchodzą dziesięciolecie swojej aktywności. Chociaż najwcześniejsze szkodliwe programy wykorzystywane w tej operacji powstały prawdopodobnie w 2005 roku, niektóre wskazówki świadczą o tym, że szkodliwa aktywność rozpoczęła się już rok wcześniej. W ciągu 10 lat NetTraveler zaatakował ponad 350 ofiar, stanowiących znane organizacje lub osobistości, w 40 krajach. Niedawno eksperci z Kaspersky Lab zidentyfikowali uaktualnioną wersję szkodliwego programu wykorzystywanego w ramach operacji NetTraveler.


W tym roku Kaspersky Lab zaobserwował wzrost liczby ataków na zwolenników ujgurskich i tybetańskich przy użyciu uaktualnionej wersji NetTravelera z nowym mechanizmem szyfrowania. Podczas badania eksperci z Kaspersky Lab wykryli siedem serwerów kontroli zlokalizowanych w Hong Kongu oraz jeden w Stanach Zjednoczonych.

Ostatnio w centrum zainteresowania działalności cyberprzestępczej znalazły się głównie kręgi dyplomatyczne (32%), rządowe (19%), osoby prywatne (11%), sektor wojskowy (9%), przemysł i infrastruktura (7%), lotnictwo (6%), sektor badań (4%), aktywiści (3%), branża finansowa (3%), IT (3%), służba zdrowia (2%) oraz prasa (1%).


Mapa ofiar kampanii NetTraveler (kliknij, aby powiększyć)

Metoda infekcji - NetTraveler po liftingu

Tradycyjnie dla tej grupy szkodliwych użytkowników, ataki rozpoczęły się od ukierunkowanych e-maili rozsyłanych do aktywistów. Wiadomość zawiera dwa załączniki, nieszkodliwy obrazek JPG oraz plik DOC (Microsoft Word) zawierający szkodliwy program infekujący za pośrednictwem luki CVE-2012-0158 występującej w pakiecie Microsoft Office. Eksperci ustalili, że plik DOC został stworzony przy użyciu chińskojęzycznej wersji pakietu Office.

W przypadku uruchomienia przy użyciu podatnej na ataki wersji pakietu Microsoft Office, szkodnik umieszcza w systemie główny moduł – trojana szpiegującego. Plik konfiguracyjny szkodliwego oprogramowania posiada nieco inny format w porównaniu ze starszymi próbkami NetTravelera. Najwyraźniej, osoby stojące za kampanią podjęły działania w celu ukrycia konfiguracji szkodliwego oprogramowania.

Po skutecznym wstrzyknięciu szkodliwego kodu do systemu NetTraveler ukradkowo wyszukuje i wysyła do cyberprzestępców popularne rodzaje plików, takie jak DOC, XLS, PPT, RTF oraz PDF.

Serwery kontrolowane przez cyberprzestępców

Kaspersky Lab zidentyfikował kilka serwerów wykorzystywanych przez cyberprzestępców do kontrolowania uaktualnionej operacji NetTraveler. Siedem na osiem serwerów kontroli zostało zarejestrowanych przez Shanghai Meicheng Technology, a ich adresy IP są zlokalizowane w Hong Kongu (Trillion Company, Hongkong Dingfengxinhui Bgp Datacenter, Sun Network Limited oraz Hung Tai International Holdings), jeden natomiast został zarejestrowany przez Todaynic.com Inc na adres IP zlokalizowany w Stanach Zjednoczonych (Integen Inc).

„Podczas badania ataków przeprowadzanych w ramach kampanii NetTraveler oszacowaliśmy ilość skradzionych danych przechowywanych na wykorzystywanych w niej serwerach kontroli na ponad 22 gigabajtów. NetTraveler to trwająca kampania cyberszpiegowska i sądząc po ostatnich atakach przeciwko aktywistom, prawdopodobnie nie zmieni się to przez kolejne dziesięć lat. Najbardziej zaawansowane zagrożenia trafiły do analizy firm z branży bezpieczeństwa IT nie tak dawno temu, jednak przykład kampanii NetTraveler pokazuje, że atak ukierunkowany może unikać radaru przez długi czas – powiedział Kurt Baumgartner, główny badacz bezpieczeństwa, Kaspersky Lab.

Zalecenia dotyczące zabezpieczenia się przed uaktualnionym NetTravelerem

  • Zablokuj w swojej zaporze sieciowej adresy IP serwerów kontrolowanych przez cyberprzestępców: 103.30.7.77, 216.83.32.29, 122.10.17.130, 103.1.42.1, 202.146.219.14, 103.17.117.201 oraz 103.30.7.76.
  • Regularnie uaktualniaj system Microsoft Windows oraz pakiet Microsoft Office do najnowszych wersji.
  • Zachowaj ostrożność, klikając odsyłacze i otwierając załączniki od nieznanych osób.
Produkty Kaspersky Lab wykrywają i neutralizują opisywane szkodliwe programy oraz ich warianty wykorzystywane przez NetTravelera. Zagrożenia są wykrywane jako Trojan-Dropper.Win32.Agent.lifr, Trojan-Spy.Win32.TravNet, Trojan-Spy.Win32.TravNet.qfr, Trojan.BAT.Tiny.b oraz Downloader.Win32.NetTraveler. Wykrywane są także exploity pakietu Microsoft Office wykorzystywane w ukierunkowanych e-mailach NetTravelera: Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158, Exploit.MSWord.CVE-2012-0158.db.

Szkodliwą aktywność na całym świecie można obserwować w czasie rzeczywistym na globalnej interaktywnej mapie cyberzagrożeń prowadzonej przez Kaspersky Lab: http://cybermap.kaspersky.com.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.