Sajber špijunaža: Malver NetTraveler osam godina krao podatke od kompanija i vlasti širom sveta

Vesti, 05.06.2013, 09:31 AM

Više od 350 naftnih kompanija, naučno istraživačkih centara i instituta, univerziteta, vlada, državnih institucija, ambasada, vojnih dobavljača i političkih aktivista iz 40 zemalja širom sveta žrtve su organizovane sajber špijunaže malverom NetTraveler, objavio je juče Kaspersky Lab.

Najstariji uzorci malvera datiraju iz 2005. godine, a postoje dokazi da je malver aktivan od 2004. godine, iako je najveći broj uzoraka malvera koje su analizirali stručnjaci Kaspersky Lab-a nastao u poslednje tri godine.

NetTraveler, poznat i pod nazivom Travnet, je dizajniran za krađu dokumenata, prvenstveno DOC, XLS, PPT, RTF i PDF dokumenata, a neke konfiguracije malvera imaju i proširenu listu dokumenata koje treba ukrasti sa računara koja uključuje i one sa ekstenzijama CDR, DWG, DXF, CDW i DWF. Osim krađe dokumenata, malver obezbeđuje napadačima i bazični nadzor nad računarom, koji uključuje i beleženje aktivnosti na tastaturi.

Na osnovu dokaza kojima raspolaže Kaspersky Lab, procenjuje se da grupu koja stoji iza ove organizovane sajber špijunaže čini oko 50 pojedinaca, čiji je maternji jezik kineski ali koji govore i engleski.

Primarni metod napada uključuje slanje spear-phishing emailova koji sadrže maliciozne dokumente koji koriste dve ranjivosti u MS Office, CVE-2012-0158 i CVE-2010-3333. Microsoft je odavno objavio zakrpe za ove ranjivosti ali one su očigledno još uvek od koristi napadačima s obzirom da žrtve nisu instalirale zakrpe i da se još uvek često koriste za infekciju računara u ciljanim napadima.

Nema dokaza da su napadači koristili napredne tehnike napada kao što su ranije nepoznate 0-day ranjivosti ili sofisticirani malveri kao što su rootkit malveri. Zato je iznenađujuće da su tako jednostavni napadi i dalje uspešni.

Na osnovu podataka sa nekoliko C&C (komandno-kontrolnih) servera koji su povezani sa ovom operacijom, Kaspersky Lab je identifikovao više od 350 žrtava sajber špijunaže. Međutim, s obzirom da stručnjaci nisu uspeli da dođu do podataka sa drugih C&C servera, procene su da je ukupan broj žrtava znatno veći, i da ih može biti oko 1000.

Količina ukradenih podataka je ogromna. Reč je o više od 22 gigabajta podataka koji su sačuvani na serverima, što je samo mali deo onoga što su napadači uspeli da ukradu, preuzmu i potom obrišu sa servera.

Najveći broj infekcija je zabeležen u Mongoliji, Indiji, Rusiji i Kazahstanu. Druge zemlje u kojima su otkrivene infekcije malverom NetTraveler su Kina, Južna Koreja, Nemačka, SAD, Kanada, Velika Britanija, Austrija, Japan, Iran, Pakistan, Španija i Australija.

Zanimljivo je da su neke od žrtava operacije NetTraveler i žrtve kampanje Crveni oktobar koja je otkrivena početkom ove godine. Ipak, nema dokaza niti direktne veze između napadača koji stoje iza ove dve operacije. To preklapanje žrtava samo govori da je informacija vredna roba i da su neke žrtve zanimljive različitim napadačima.

Istraživači su primetili i da je grupa koja stoji iza ove operacije u poslednje vreme proširila svoja interesovanja na oblasti kao što su svemirska istraživanja, nanotehnologija, proizvodnja nuklearne energije, laseri, medicina i komunikacije.

Ostale pojedinosti koje uključuju i identitet žrtava biće deo poverljivog izveštaja koji će Kaspersky Lab dostaviti lokalnim vlastima zemalja u kojima su otkrivene žrtve sajber špijunske operacije NetTraveler.