«Лаборатория Касперского» объявила о раскрытии новой кибершпионской сети
«Лаборатория Касперского» объявила о раскрытии новой кибершпионской сети, получившей название NetTraveler и затронувшей более 350 компьютерных систем в 40 странах мира. Атаке подверглись государственные и частные структуры, в том числе правительственные учреждения, посольства, научно-исследовательские центры, военные организации, компании нефтегазового сектора, а также политические активисты. Россия оказалась в числе наиболее пострадавших стран, заняв вторую строчку в рейтинге государств, испытавших на себе наиболее заметные последствия операции NetTraveler.
Согласно результатам расследования, проведенного экспертами «Лаборатории Касперского», кампания шпионажа стартовала еще в 2004 году, однако пик ее пришелся на период с 2010 по 2013 гг. В последнее время в сферу интересов атакующих входили такие отрасли, как освоение космоса, нанотехнологии, энергетика, в том числе ядерная, медицина и телекоммуникации.
Заражение компьютеров жертв происходило при помощи фишинговых писем с вредоносными вложениями, использующими уязвимости в Microsoft Office (CVE-2012-0158 и CVE-2010-3333). Несмотря на то, что компания Microsoft уже выпустила патч обновлений для закрытия этих уязвимостей, они все еще широко распространены и часто используются для таргетированных атак. Названия вложений наглядно демонстрируют целевой характер операции: злоумышленники адаптировали имя документа каждый раз при отправлении его в другую организацию таким образом, чтобы побудить получателя открыть файл
Название ‘NetTraveler’ было обнаружено в одном из внутренних сообщений, встроенных в тело программы: ‘NetTravelerisRunning!’ (‘NetTraveler активен!’). Эта вредоносная программа известна также как ‘Travnet’ или ‘Netfile’. Она использовалась для базового наблюдения за жертвами. Наиболее ранние версии этой программы, которые нам удалось обнаружить, датируются 2005 годом, однако есть сведения, указывающие, что разработка велась, начиная с 2004 года. Большинство вредоносных файлов, которые нам удалось собрать, датируются 2010 – 2013 годами.
Иконка программы-конструктора NetTraveler
Распределение жертв NetTraveler по индустриям
Ключевые моменты в исследовании атак NetTraveler:
-
Наибольшее число жертв сосредоточено в Монголии, Индии и в России. В целом, нам удалось идентифицировать 40 стран, где находятся жертвы этих атак, включая: Казахстан, Киргизия, Китай, Таджикистан, Южная Корея, Испания, Германия, США, Канада, Великобритания, Чили, Марокко, Греция, Бельгия, Австрия, Украина, Литва, Беларусь, Австралия, Гонконг, Япония, Иран, Турция, Пакистан, Таиланд, Катар и Иордания.
-
Кибератаки NetTraveler поразили правительства, посольства, научную и военную сферу государств, а также отдельные активистские движения.
-
На основе собранных данных мы считаем, что число атакующих насчитывает до 50 человек, для большинства из которых китайский язык является родным, однако они владеют и английским языком – на среднем уровне.
-
В последнее время целями кибератак NetTraveler являются научные институты, занимающиеся аэрокосмическими исследованиями, нанотехнологиями, лазерной физикой, исследованиями в области ядерной физики; медицинские институты; нефтедобывающие и телекоммуникационные компании.
-
NetTraveler разработан с целью кражи ценной информации, хранимой на зараженном компьютере, а также записи нажатий клавиш, получения списка доступных файлов, а также автоматического копирования документов MicrosoftOffice и PDF.
-
Мы обнаружили 6 жертв, которые были заражены одновременно NetTraveler и RedOctober (http://www.securelist.com/en/blog/785/).
-
Продукты ‘Лаборатории Касперского’ детектируют и нейтрализуют вредоносные программы данного семейства под именами Trojan-Spy.Win32.TravNet и Downloader.Win32.NetTraveler. Кроме этого, вредоносные документы MicrosoftOffice, используемые для первичного заражения через E-mail, детектируются как Exploit.MSWord.CVE-2010-333 и Exploit.Win32.CVE-2012-0158.
Источник: Исследовательский центр "Лаборатории Касперского" (GReAT)