Informacja prasowa

NetTraveler funduje sobie lifting na 10 urodziny
Warszawa, 28 sierpnia 2014 r.
W tym roku osoby stojące za globalną kampanią cyberszpiegowską NetTraveler
obchodzą dziesięciolecie swojej aktywności. Chociaż najwcześniejsze szkodliwe
programy wykorzystywane w tej operacji powstały prawdopodobnie w 2005 roku,
niektóre wskazówki świadczą o tym, że szkodliwa aktywność rozpoczęła się już rok
wcześniej. W ciągu 10 lat NetTraveler zaatakował ponad 350 ofiar, stanowiących znane
organizacje lub osobistości, w 40 krajach. Niedawno eksperci z Kaspersky Lab
zidentyfikowali uaktualnioną wersję szkodliwego programu wykorzystywanego
w ramach operacji NetTraveler.
W tym roku Kaspersky Lab zaobserwował wzrost liczby ataków na zwolenników ujgurskich
i tybetańskich przy użyciu uaktualnionej wersji NetTravelera z nowym mechanizmem
szyfrowania. Podczas badania eksperci z Kaspersky Lab wykryli siedem serwerów kontroli
zlokalizowanych w Hong Kongu oraz jeden w Stanach Zjednoczonych.
Ostatnio w centrum zainteresowania działalności cyberprzestępczej znalazły się głównie
kręgi dyplomatyczne (32%), rządowe (19%), osoby prywatne (11%), sektor wojskowy (9%),
przemysł i infrastruktura (7%), lotnictwo (6%), sektor badań (4%), aktywiści (3%), branża
finansowa (3%), IT (3%), służba zdrowia (2%) oraz prasa (1%).
Metoda infekcji – NetTraveler po liftingu
Tradycyjnie dla tej grupy szkodliwych użytkowników, ataki rozpoczęły się od
ukierunkowanych e-maili rozsyłanych do aktywistów. Wiadomość zawiera dwa załączniki,
nieszkodliwy obrazek JPG oraz plik DOC (Microsoft Word) zawierający szkodliwy program
infekujący za pośrednictwem luki CVE-2012-0158 występującej w pakiecie Microsoft Office.
Eksperci ustalili, że plik DOC został stworzony przy użyciu chińskojęzycznej wersji pakietu
Office.
W przypadku uruchomienia przy użyciu podatnej na ataki wersji pakietu Microsoft Office,
szkodnik umieszcza w systemie główny moduł – trojana szpiegującego. Plik konfiguracyjny
szkodliwego oprogramowania posiada nieco inny format w porównaniu ze starszymi
próbkami NetTravelera. Najwyraźniej, osoby stojące za kampanią podjęły działania w celu
ukrycia konfiguracji szkodliwego oprogramowania.
Po skutecznym wstrzyknięciu szkodliwego kodu do systemu NetTraveler ukradkowo
wyszukuje i wysyła do cyberprzestępców popularne rodzaje plików, takie jak DOC, XLS,
PPT, RTF oraz PDF.
Serwery kontrolowane przez cyberprzestępców
Kaspersky Lab zidentyfikował kilka serwerów wykorzystywanych przez cyberprzestępców do
kontrolowania uaktualnionej operacji NetTraveler. Siedem na osiem serwerów kontroli
zostało zarejestrowanych przez Shanghai Meicheng Technology, a ich adresy IP są
zlokalizowane w Hong Kongu (Trillion Company, Hongkong Dingfengxinhui Bgp Datacenter,
Sun Network Limited oraz Hung Tai International Holdings), jeden natomiast został
zarejestrowany przez Todaynic.com Inc na adres IP zlokalizowany w Stanach
Zjednoczonych (Integen Inc).
„Podczas badania ataków przeprowadzanych w ramach kampanii NetTraveler
oszacowaliśmy ilość skradzionych danych przechowywanych na wykorzystywanych w niej
serwerach kontroli na ponad 22 gigabajtów. NetTraveler to trwająca kampania
cyberszpiegowska i sądząc po ostatnich atakach przeciwko aktywistom, prawdopodobnie nie
zmieni się to przez kolejne dziesięć lat. Najbardziej zaawansowane zagrożenia trafiły do
analizy firm z branży bezpieczeństwa IT nie tak dawno temu, jednak przykład kampanii
NetTraveler pokazuje, że atak ukierunkowany może unikać radaru przez długi czas –
powiedział Kurt Baumgartner, główny badacz bezpieczeństwa, Kaspersky Lab.
Zalecenia dotyczące zabezpieczenia się przed uaktualnionym
NetTravelerem



Zablokuj w swojej zaporze sieciowej adresy IP serwerów kontrolowanych przez
cyberprzestępców:
103.30.7.77,
216.83.32.29,
122.10.17.130,
103.1.42.1,
202.146.219.14, 103.17.117.201 oraz 103.30.7.76.
Regularnie uaktualniaj system Microsoft Windows oraz pakiet Microsoft Office do
najnowszych wersji.
Zachowaj ostrożność, klikając odsyłacze i otwierając załączniki od nieznanych osób.
Produkty Kaspersky Lab wykrywają i neutralizują opisywane szkodliwe programy oraz ich
warianty wykorzystywane przez NetTravelera. Zagrożenia są wykrywane jako TrojanDropper.Win32.Agent.lifr,
Trojan-Spy.Win32.TravNet,
Trojan-Spy.Win32.TravNet.qfr,
Trojan.BAT.Tiny.b oraz Downloader.Win32.NetTraveler. Wykrywane są także exploity
pakietu Microsoft Office wykorzystywane w ukierunkowanych e-mailach NetTravelera:
Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158, Exploit.MSWord.CVE-20120158.db.
Szkodliwą aktywność na całym świecie można obserwować w czasie rzeczywistym na
globalnej interaktywnej mapie cyberzagrożeń prowadzonej przez Kaspersky Lab:
http://cybermap.kaspersky.com.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako
źródła.
Wszystkie informacje prasowe
http://www.kaspersky.pl/news.
Kaspersky
Lab
Dalszych informacji udziela
Piotr Kupczyk
Dyrektor biura komunikacji z mediami, Kaspersky Lab Polska
E-mail: [email protected]
Polska
są
dostępne
na
stronie
Tel. bezpośredni: 22 206 59 61
Tel. kom.: 518 935 846
Informacje o Kaspersky Lab
Kaspersky Lab jest największą na świecie prywatną firmą tworzącą rozwiązania do ochrony punktów końcowych.
Firma znalazła się w pierwszej czwórce producentów rozwiązań bezpieczeństwa punktów końcowych
w klasyfikacji ogólnoświatowej*. Od 16 lat swojej działalności Kaspersky Lab pozostaje innowatorem w dziedzinie
bezpieczeństwa IT i oferuje skuteczne rozwiązania bezpieczeństwa cyfrowego dla klientów indywidualnych, firm
z sektora SMB oraz przedsiębiorstw. Obecnie firma działa w prawie 200 krajach na całym świecie, zapewniając
ochronę ponad 300 milionom użytkowników. Polskie przedstawicielstwo firmy istnieje od 2000 r. Więcej informacji
można uzyskać na stronie www.kaspersky.pl. Informacje o bezpieczeństwie przygotowywane przez ekspertów
z firmy są dostępne w serwisie SecureList.pl oraz na oficjalnym blogu Kaspersky Lab – Kaspersky Daily.
* Firma uplasowała się na czwartym miejscu w rankingu IDC „Worldwide Endpoint Security Revenue by Vendor, 2012”. Ranking
ten został opublikowany w raporcie IDC „Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares” (IDC
#242618, sierpień 2013). W raporcie producenci oprogramowania zostali uszeregowani według wysokości dochodów ze
sprzedaży rozwiązań bezpieczeństwa punktów końcowych w 2012 r.