Kaspersky Lab descobre “Operação NetTraveler”, uma campanha global de ciberespionagem dirigida a organizações governamentais e Institutos de Investigação

04 jun 2013
Notícias de Vírus

O programa malicioso NetTraveler Toolkit infectou 350 vítimas de alto nível para roubar de dados e espiar

A equipa de especialistas da Kaspersky Lab acaba de anunciar a descoberta do NetTraveler, uma família de programas maliciosos usados em ataques APT (sigla em inglês para Advanced Persistent Threat – que se refere a um grupo com capacidade e intenção para atingir um alvo/entidade específica), aptos a comprometer com sucesso mais de 350 vítimas em 40 países. Os alvos do NetTraveler foram tanto do setor público como do privado, incluindo instituições governamentais, embaixadas, indústrias de petróleo e gás, centros de investigação, fornecedores de serviços militares e activistas.

De acordo com o relatório da Kaspersky Lab, esta ameaça actua desde o início de 2004. No entanto, o período de maior atividade ocorreu entre 2010 e 2013. Recentemente, os principais alvos de ciberespionagem dos criadores do NetTraveler são entidades de exploração do espaço, nanotecnologia, geração de energia, energia nuclear, lasers, medicina e comunicações.

Método de infecção:

  • A disseminação acontecia por meio de e-mails inteligentes de phishing com anexos maliciosos no formato do Microsoft Office, utilizando duas  vulnerabilidades conhecidas (CVE-2012-0158 e CVE-2010-3333). Embora a Microsoft já tenha publicado os pacotes de correcção para as vulnerabilidades, estas ainda são amplamente usadas em ataques dirigidos e têm-se mostrado altamente eficazes.
  • Os títulos dos anexos maliciosos mostram o esforço obstinado do grupo NetTraveler em personalizar os ataques a fim de infectar perfis específicos. Alguns exemplos incluem:
    • Army Cyber Security Policy 2013.doc
    • Report - Asia Defense Spending Boom.doc
    • Activity Details.doc
    • His Holiness the Dalai Lama’s visit to Switzerland day 4
    • Freedom of Speech.doc

Roubo e fuga de dados:

  • Durante a análise da Kaspersky Lab, a equipa de especialistas obteve registos de infecção de vários servidores de comando e controlo (C&C) do NetTraveler. Estes são usados para instalar outros malware nas máquinas infectadas e extrair dados roubados. Os especialistas da Kaspersky Lab calculam que a quantidade de dados roubados e armazenados nos servidores do NetTraveler passem os 22 gigabytes de informações.
  • Os dados extraídos das máquinas infectadas normalmente incluem listas de ficheiros do sistema, keyloggs e outros tipos de arquivos, como PDFs, folhas do Excel, documentos do Word, ficheiros do CorelDraw e projetos do AutoCAD. Além disso, o NetTraveler foi capaz de instalar um malware que rouba informações adicionais como um backdoor, e pode ser personalizado para roubar outros tipos de informações sensíveis, tais como detalhes de configuração para uma aplicação ou ficheiros de projetos.

Estatísticas globais da infecção:

  • Com base na análise C&C do NetTraveler, a Kaspersky Lab identificou um total de 350 vítimas em 40 países, que incluem os Estados Unidos, Canadá, Reino Unido, Rússia, Chile, Marrocos, Grécia, Bélgica, Áustria, Ucrânia, Lituânia, Bielorússia, Austrália, Japão, China e Hong Kong, Mongólia, Irão, Turquia, Índia, Paquistão, Coreia do Sul, Tailândia, Qatar, Cazaquistão e Jordânia.
  • Em conjunto com os dados da análise C&C, os especialistas da Kaspersky Lab usaram a Kaspersky Security Network (KSN - tecnologia de proteção híbrida na nuvem) para identificar estatísticas de infecção adicionais. Os dez países com vítimas detectadas pela KSN foram a Mongólia, seguida da Rússia, Índia, Cazaquistão, Quirguistão, China, Tajiquistão, Coreia do Sul, Espanha e Alemanha.

 

Descobertas adicionais

  • Os especialistas da Kaspersky Lab identificaram também seis vítimas que tinham sido alvo tanto do NetTraveler como do Outubro Vermelho, outra operação de ciberespionagem descoberta pela Kaspersky Lab em Janeiro deste ano. Embora não se observe ligações diretas entre os ataques, o facto de as vítimas específicas terem sido infectadas pelas duas campanhas indica que são alvos de múltiplos ataques e as suas informações são valiosas para os atacantes.

Para aceder à análise completa realizada pela Kaspersky Lab visite a Securelist.

Os produtos da Kaspersky Lab detectam e neutralizam os programas maliciosos e suas variantes utilizadas pelo NetTraveler, incluindo o Trojan-Spy.Win32.TravNet e o Downloader.Win32.NetTraveler. Além disso detectam também os Exploits usados nos ficheiros maliciosos das mensagens de phishing, que incluem Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158.

 

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.