A familia de programas NetTraveler infectou a máis de 350 vítimas de alto perfil de 40 países
xoves, 6 de xuño do 2013
Un equipo de
especialistas de Kaspersky
Lab vén de publicar un
informe de investigación sobre NetTraveler,
unha familia de programas maliciosos empregados por APT
(Advanced Persistent Threat) que, segundo fan fincapé,
comprometeu a máis de 350 vítimas de alto perfil en 40 países
distintos, tanto no sector público como no privado, incluíndo
institucións gobernamentais, embaixadas, a industria do petróleo e
gas, centros de investigación, contratistas militares e activistas
políticos. Segundo o informe de Kaspersky Lab, a ameaza estivo
activa desde 2004. Porén, a maior incidencia deuse no período
2010-2013.
O principal interese de NetTraveler é a ciberespionaxe
arredor da exploración do espazo, a nanotecnoloxía, a produción de
enerxía, a enerxía nuclear, o láser, a industria farmacéutica e
as comunicacións. Segundo apunta Kaspersky, os programas maliciosos
que emite infectan os equipos mediante o envío de correos
electrónicos phishing con adxuntos falsos de Microsoft Office
que conteñen dúas vulnerabilidades altamente explotadas
(CVE-2012-0158 e CVE-2010-3333). Así, sinálase, malia que Microsoft
xa publicou parches para estas vulnerabilidades, “están a ser
moi utilizados para ataques dirixidos e demostraron ser eficaces”.
Os títulos dos arquivos adxuntos nos correos electrónicos de
phishing amosan, sinala Kaspersky, “o esforzo do grupo
NetTraveler ao personalizar os seus ataques co fin de infectar
obxectivos de alto perfil”. Os títulos dos documentos
maliciosos inclúen: Army Cyber Security Policy 2013.doc, Report -
Asia Defense Spending Boom.doc, Activity Details.doc, His Holiness
the Dalai Lama?s visit to Switzerland day 4 ou
Freedom of Speech.doc.
Durante a análise, os
expertos de Kaspersky Lab obtiveron rexistros de infección de varios
dos servidores de comando e control (C&C) de NetTraveler. Os
servidores C&C utilízanse para instalar outros programas
maliciosos nos equipos infectados e extraer datos roubados. Kaspersky
Lab calcula que a cantidade de datos roubados almacenados nos
servidores C&C de NetTraveler supera os 22 xigabytes. Segundo
engade a empresa de protección na Rede, “os datos
tirados das máquinas infectadas adoitan incluír
listaxes de arquivos de sistema, keyloggs, e varios
tipos de arquivos, incluíndo pdf, follas de Excel e
documentos de texto; ademais, o toolkit de NetTraveler
puido instalar malware para roubar información adicional cun
backdoor que pode personalizarse para substraer outro
tipo de datos sensibles, como os de configuración dunha aplicación
ou arquivos de deseño asistido por computador”.
En base á análise dos
datos do C&C de NetTraveler realizado por Kaspersky Lab,
detectáronse un total de 350 vítimas en 40 países de todo o mundo,
incluíndo os Estados Unidos, Canadá, Reino Unido, Rusia, Chile,
Marrocos, Grecia, Bélxica, Austria, Ucraína, Lituania, Bielorrusia,
Australia, Hong Kong, Xapón, China, Mongolia, Irán, Turquía,
India, Paquistán, Corea do Sur, Tailandia, Qatar, Kazajstán e
Xordania.