Kaspersky Lab descobre “Operação NetTraveler”, uma campanha global de ciberespionagem

De acordo com o relatório da Kaspersky Lab, esta ameaça actua desde o início de 2004. No entanto, o período de maior atividade ocorreu entre 2010 e 2013. Recentemente, os principais alvos de ciberespionagem dos criadores do NetTraveler são entidades de exploração do espaço, nanotecnologia, geração de energia, energia nuclear, lasers, medicina e comunicações.
 
Método de infecção:
 

A disseminação acontecia por meio de e-mails inteligentes de phishing com anexos maliciosos no formato do Microsoft Office, utilizando duas  vulnerabilidades conhecidas (CVE-2012-0158 e CVE-2010-3333). Embora a Microsoft já tenha publicado os pacotes de correcção para as vulnerabilidades, estas ainda são amplamente usadas em ataques dirigidos e têm-se mostrado altamente eficazes.

Os títulos dos anexos maliciosos mostram o esforço obstinado do grupo NetTraveler em personalizar os ataques a fim de infectar perfis específicos. Alguns exemplos incluem:

Army Cyber Security Policy 2013.doc

Report – Asia Defense Spending Boom.doc

Activity Details.doc

His Holiness the Dalai Lama’s visit to Switzerland day 4

Freedom of Speech.doc

 
Roubo e fuga de dados:
 

Durante a análise da Kaspersky Lab, a equipa de especialistas obteve registos de infecção de vários servidores de comando e controlo (C&C) do NetTraveler. Estes são usados para instalar outros malware nas máquinas infectadas e extrair dados roubados. Os especialistas da Kaspersky Lab calculam que a quantidade de dados roubados e armazenados nos servidores do NetTraveler passem os 22 gigabytes de informações.

Os dados extraídos das máquinas infectadas normalmente incluem listas de ficheiros do sistema, keyloggs e outros tipos de arquivos, como PDFs, folhas do Excel, documentos do Word, ficheiros do CorelDraw e projetos do AutoCAD. Além disso, o NetTraveler foi capaz de instalar um malware que rouba informações adicionais como um backdoor, e pode ser personalizado para roubar outros tipos de informações sensíveis, tais como detalhes de configuração para uma aplicação ou ficheiros de projetos.

 
Estatísticas global da infecção:

Com base na análise C&C do NetTraveler, a Kaspersky Lab identificou um total de 350 vítimas em 40 países, que incluem os Estados Unidos, Canadá, Reino Unido, Rússia, Chile, Marrocos, Grécia, Bélgica, Áustria, Ucrânia, Lituânia, Bielorússia, Austrália, Japão, China e Hong Kong, Mongólia, Irão, Turquia, Índia, Paquistão, Coreia do Sul, Tailândia, Qatar, Cazaquistão e Jordânia.

Em conjunto com os dados da análise C&C, os especialistas da Kaspersky Lab usaram a Kaspersky Security Network (KSN – tecnologia de proteção híbrida na nuvem) para identificar estatísticas de infecção adicionais. Os dez países com vítimas detectadas pela KSN foram a Mongólia, seguida da Rússia, Índia, Cazaquistão, Quirguistão, China, Tajiquistão, Coreia do Sul, Espanha e Alemanha.

Descobertas adicionais
Os especialistas da Kaspersky Lab identificaram também seis vítimas que tinham sido alvo tanto do NetTraveler como do Outubro Vermelho, outra operação de ciberespionagem descoberta pela Kaspersky Lab em Janeiro deste ano. Embora não se observe ligações diretas entre os ataques, o facto de as vítimas específicas terem sido infectadas pelas duas campanhas indica que são alvos de múltiplos ataques e as suas informações são valiosas para os atacantes.
 
Para aceder à análise completa realizada pela Kaspersky Lab visite a SecureList.