Kaspersky Lab odhalila novou kyberšpionážní operaci NetTraveler

10 VI 2013
Press Releases, Virus News

Analytici Kaspersky Lab zveřejnili zprávu o nové kampani kybernetické špionáže NetTraveler (Cestovatel po síti). Skupina škodlivých programů infikovala 350 obětí, mezi nimi významné vládní a veřejné instituce ve 40 zemích po celém světě. Jedná se jak o vládní úřady a ambasády, tak i o ropný průmysl, výzkumná centra, zbrojní firmy i aktivistické organizace. Cílem útoků bylo sledování činnosti obětí a také krádež dat.

Dle zprávy Kaspersky Lab probíhal útok už od roku 2004. Nejvíce aktivity pak analytici zaznamenali v letech 2010 až 2013. Naposledy se útočníci zaměřili na oblasti výzkumu vesmíru, nanotechnologií, energetiky (včetně jaderné), laserů, medicíny a komunikace.

Oběti útočníci napadli pomocí sofistikovaných phishingových e-mailů se škodlivými přílohami – soubory Microsoft Office obsahujícími vysoce zneužitelné zranitelnosti (CVE-2012-0158 a CVE-2010-3333). Přestože Microsoft už dávno vydal jejich záplaty, stále jsou účinnými prostředky cílených útoků.

Dle názvů škodlivých příloh lze odhadnout, jak významné byly cíle útočníků:

  • Army Cyber Security Policy 2013.doc (armádní plán kybernetické bezpečnosti)
  • Report - Asia Defense Spending Boom.doc (růst výdajů na obranu v Asii)
  • Activity Details.doc (detaily činnosti)
  • His Holiness the Dalai Lama’s visit to Switzerland day 4 (návštěva jeho svátosti Dalajlámy ve Švýcarsku, den čtvrtý)
  • Freedom of Speech.doc (svoboda slova)

Na C&C servery NetTraveleru bylo dle vyšetřování analytiků Kaspersky Lab nahráno více než 22 gigabytů odcizených dat. Mezi nimi byly systémové údaje, záznamy psaní na klávesnici či PDF, excelové a wordové dokumenty a soubory. NetTraveler byl také schopen do počítačů nainstalovat backdoor ve formě malwaru, který kradl citlivé informace, například detaily nastavení aplikací.

Ačkoli nebyla prokázána jakákoliv spojitost, NetTraveler si vybral k útoku několik významných obětí, které se staly cílem útoku také kybernetické špionážní kampaně Red October, o níž informovala společnost Kaspersky Lab už v lednu.

Kompletní analýzu Kaspersky Lab s detaily útoku NetTraveler naleznete zde.

Produkty Kaspersky Lab identifikovaly a neutralizovaly škodlivé programy toolkitu NetTraveler s označením Trojan-Spy.Win32.TravNet a Downloader.Win32.NetTraveler, a několik zranitelností souborů Microsoft Office používané při phishingu této kampaně,zejména Exploit.MSWord.CVE-2010-333 a Exploit.Win32.CVE-2012-0158.

© 1997 – 2014 Kaspersky Lab ZAO

All Rights Reserved. Industry-leading Antivirus Software