Segundo o relatório da Kaspersky Lab, este grupo cibercriminosos atua desde desde o ano de 2004. No entanto, o maior volume de atividades ocorreu entre 2010 e 2013. Mais recentemente, os principais domínios do grupo NetTraveler (de interesse para as atividades de ciberespionagem), incluem a exploração do espaço, a nanotecnologia, a produção de energia, a energia nuclear, lasers, medicina e comunicações.
Métodos de Infecção
Os atacantes infectaram vítimas, enviaram e-mails inteligentes spear-phishing com anexos maliciosos do Microsoft Office, que são manipulados com duas vulnerabilidades altamente exploradas (CVE-2012-0158 e CVE-2010-3333). Embora a Microsoft já tenha publicado correções para as vulnerabilidades, elas ainda estão amplamente sendo utilizadas para exploração em ataques direcionados e têm provado ser bastante eficazes.
Títulos dos Anexos Maliciosos
Os títulos dos anexos maliciosos em e-mails spear-phishing retratam um esforço obstinado do grupo NetTraveler de personalizar seus ataques, a fim de infectar seus alvos de alto perfil. Títulos notáveis de documentos maliciosos incluem:
- Army Cyber Security Policy 2013.doc
- Report - Asia Defense Spending Boom.doc
- Activity Details.doc
- His Holiness the Dalai Lama’s visit to Switzerland day 4
- Freedom of Speech.doc.
- Data theft and exfiltration
Durante a análise feita pela Kaspersky Lab, sua equipe de especialistas obteve registros de infecção a partir de vários servidores de comando e controle (C & C) do NetTraveler. Os servidores C & C, como muitos sabem, são usados para instalar malware adicional nas máquinas infectadas de os dados serão roubados. Os especialistas da Kaspersky Lab calcularam a quantidade de dados roubados armazenados no servidor de C & C do NetTraveler, que ultrapassou mais do que 22 gigabytes.
Os dados roubados de máquinas infectadas são normalmente incluídos em listas de arquivos do sistema, keyloggs, e vários tipos de arquivos, incluindo PDFs, planilhas Excel, documentos do Word e arquivos. Além disso, o kit de ferramentas NetTraveler foi capaz de instalar um malware que rouba informações adicionais como um backdoor, e pode ser personalizado para roubar outros tipos de informações sensíveis, tais como detalhes de configuração para um aplicativo ou arquivos de projeto auxiliado por um computador.
NetTraveler Pelo Mundo e Estatísticas Globais de Infecção
Com base na análise feita pela Kapersky Labs em relação ao C & C do NetTraveler, havia um total de 350 vítimas em 40 países, incluindo Estados Unidos, Canadá, Reino Unido, Rússia, Chile, Marrocos, Grécia, Bélgica, Áustria, Ucrânia, Lituânia, Bielorrússia, Austrália , Hong Kong, Japão, China, Mongólia, Irã, Turquia, Índia, Paquistão, Coréia do Sul, Tailândia, Catar, Cazaquistão, e Jordan. Em conjunto com a análise de dados do C & C, os especialistas da Kaspersky Lab usaram o Kaspersky Security Network (KSN), com a intenção de identificar as estatísticas de infecção adicionais. Os dez países com vítimas detectadas por KSN foram Mongólia seguido por Rússia, Índia, Cazaquistão, Quirguistão, China, Tajiquistão, Coreia do Sul, Espanha e Alemanha.
Durante a análise do NetTraveler feita pela Kaspersky Lab, os especialistas da empresa identificaram seis vítimas que tinham sido infectadas tanto pelo NetTraveler quanto pelo Red October, que foi outra operação de ciberespionagem analisada pela companhia em janeiro desse ano de 2013.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2510