Kaspersky Lab révèle l’opération « NetTraveler », une campagne internationale de cyberespionnage ciblant les administrations et les organismes de recherche

04 juin 2013
Actualités Virus

Un ensemble d’outils malveillants infecte 350 victimes pour leur dérober des données et les espionner

L’équipe d’experts de Kaspersky Lab publie aujourd’hui une nouvelle étude concernant NetTraveler, une famille de programmes malveillants utilisés par des auteurs d’attaques de type « APT », ou « Menace Persistente Avancée »,  pour toucher plus de 350 victimes dans 40 pays.
Le groupe NetTraveler a ainsi infecté de multiples établissements du secteur public comme privé : administrations, ambassades, compagnies pétrolières et gazières, centres de recherche, sous-traitants de la défense, organisations militantes…
Selon le rapport de Kaspersky Lab, cette menace est active depuis 2004, cependant le pic d’activité a été observé sur la période 2010-2013. Dernièrement, les principaux centres d’intérêt de NetTraveler en matière de cyberespionnage incluent plusieurs secteurs dont l’exploration spatiale, les nanotechnologies, la production d’énergie (notamment nucléaire), les lasers, la médecine et les télécommunications.

 

Méthodes d’infection:

  • Les victimes ont été touchées par la méthode du « spear-phishing », c’est-à-dire l’envoi d’e-mails ciblés accompagnés de pièces jointes Microsoft Office malveillantes exploitant deux vulnérabilités bien connues (CVE-2012-0158 et CVE-2010-3333). Bien que Microsoft ait déjà publié des correctifs pour ces failles, celles-ci sont encore utilisées dans des attaques ciblées…
  • Les titres des pièces jointes malveillantes reflètent la personnalisation des attaques NetTraveler en fonction des cibles visées. Exemples :
    • Army Cyber Security Policy 2013.doc
    • Report - Asia Defense Spending Boom.doc
    • Activity Details.doc
    • His Holiness the Dalai Lama’s visit to Switzerland day 4
    • Freedom of Speech.doc

Vol et exfiltration de données:

  • Au cours de leur analyse, les experts de Kaspersky Lab ont pu obtenir les journaux d’infection de plusieurs des serveurs de commande et de contrôle (C&C) de NetTraveler. Ces serveurs sont employés pour introduire des malwares supplémentaires sur les machines infectées et exfiltrer les données volées. Les experts de Kaspersky Lab estiment à plus de 22 gigaoctets le volume de données volées stockées sur les serveurs C&C de NetTraveler.
  • Les données exfiltrées depuis les machines infectées sont généralement des listes de fichiers, des enregistrements de frappes, ainsi que divers types de fichiers (PDF, feuilles Excel, documents Word…). En outre, le kit NetTraveler a pu installer un malware supplémentaire sous la forme d’une « backdoor », pouvant être personnalisée pour voler d’autres types d’informations sensibles, telles que les détails de configuration d’une application ou bien des fichiers de CAO.

Statistiques mondiales de l’infection:

  • D’après l’analyse par Kaspersky Lab des données C&C de NetTraveler, on dénombre au total 350 victimes dans une quarantaine de pays dont les Etats-Unis, Canada, Royaume-Uni, Russie, Chili, Maroc, Grèce, Belgique, Autriche, Ukraine, Lituanie, Bélarus, Australie, Hong Kong, Japon, Chine, Mongolie, Iran, Turquie, Inde, Pakistan, Corée du Sud, Thaïlande, Qatar, Kazakhstan, Jordanie, etc.
  • • En conjonction avec l’analyse des données C&C, les experts de Kaspersky Lab se sont appuyés sur le réseau KSN (Kaspersky Security Network) afin de rassembler des statistiques supplémentaires sur l’infection. Les dix principaux pays où des victimes ont été recensées par KSN sont, par ordre décroissant, la Mongolie, la Russie, l’Inde, le Kazakhstan, le Kirghizistan, la Chine, le Tadjikistan, la Corée du Sud, l’Espagne et l’Allemagne.

 

Autres observations

  • Au cours de leur analyse de NetTraveler, les experts de Kaspersky Lab ont identifié six victimes infectées à la fois par NetTraveler et Red October, une autre opération de cyberespionnage étudiée en janvier 2013. Bien qu’aucun lien direct n’ait été observé entre ces deux menaces, le fait que certaines victimes soient atteintes par les deux campagnes indique que ces cibles de haut niveau sont l’objet de menaces multiples car la valeur des informations qu’elles détiennent est importante pour les auteurs des attaques.

Pour lire l’analyse complète de Kaspersky Lab, répertoriant notamment les indicateurs d’infection, les techniques de neutralisation ainsi que les caractéristiques détaillées de NetTraveler et de ses composants malveillants, consultez le site Securelist.

Les produits de Kaspersky Lab détectent et neutralisent les programmes malveillants utilisés par NetTraveler, ainsi que leurs variantes, sous les classifications Trojan-Spy.Win32.TravNet et Downloader.Win32.NetTraveler. Les produits de Kaspersky Lab détectent les vulnérabilités de Microsoft Office exploitées dans les attaques ciblées, à savoir Exploit.MSWord.CVE-2010-333 et, Exploit.Win32.CVE-2012-0158.

  PARTAGER