A familia de programas NetTraveler infectou a máis de 350 vítimas de alto perfil de 40 países

Un equipo de especialistas de Kaspersky Lab vén de publicar un informe de investigación sobre NetTraveler, unha familia de programas maliciosos empregados por APT (Advanced Persistent Threat) que, segundo fan fincapé, comprometeu a máis de 350 vítimas de alto perfil en 40 países distintos, tanto no sector público como no privado, incluíndo institucións gobernamentais, embaixadas, a industria do petróleo e gas, centros de investigación, contratistas militares e activistas políticos. Segundo o informe de Kaspersky Lab, a ameaza estivo activa desde 2004. Porén, a maior incidencia deuse no período 2010-2013.
O principal interese de NetTraveler é a ciberespionaxe arredor da exploración do espazo, a nanotecnoloxía, a produción de enerxía, a enerxía nuclear, o láser, a industria farmacéutica e as comunicacións. Segundo apunta Kaspersky, os programas maliciosos que emite infectan os equipos mediante o envío de correos electrónicos phishing con adxuntos falsos de Microsoft Office que conteñen dúas vulnerabilidades altamente explotadas (CVE-2012-0158 e CVE-2010-3333). Así, sinálase, malia que Microsoft xa publicou parches para estas vulnerabilidades, “están a ser moi utilizados para ataques dirixidos e demostraron ser eficaces”. Os títulos dos arquivos adxuntos nos correos electrónicos de phishing amosan, sinala Kaspersky, “o esforzo do grupo NetTraveler ao personalizar os seus ataques co fin de infectar obxectivos de alto perfil”. Os títulos dos documentos maliciosos inclúen: Army Cyber Security Policy 2013.doc, Report - Asia Defense Spending Boom.doc, Activity Details.doc, His Holiness the Dalai Lama?s visit to Switzerland day 4 ou Freedom of Speech.doc.
Durante a análise, os expertos de Kaspersky Lab obtiveron rexistros de infección de varios dos servidores de comando e control (C&C) de NetTraveler. Os servidores C&C utilízanse para instalar outros programas maliciosos nos equipos infectados e extraer datos roubados. Kaspersky Lab calcula que a cantidade de datos roubados almacenados nos servidores C&C de NetTraveler supera os 22 xigabytes. Segundo engade a empresa de protección na Rede, “os datos tirados das máquinas infectadas adoitan incluír listaxes de arquivos de sistema, keyloggs, e varios tipos de arquivos, incluíndo pdf, follas de Excel e documentos de texto; ademais, o toolkit de NetTraveler puido instalar malware para roubar información adicional cun backdoor que pode personalizarse para substraer outro tipo de datos sensibles, como os de configuración dunha aplicación ou arquivos de deseño asistido por computador”.
En base á análise dos datos do C&C de NetTraveler realizado por Kaspersky Lab, detectáronse un total de 350 vítimas en 40 países de todo o mundo, incluíndo os Estados Unidos, Canadá, Reino Unido, Rusia, Chile, Marrocos, Grecia, Bélxica, Austria, Ucraína, Lituania, Bielorrusia, Australia, Hong Kong, Xapón, China, Mongolia, Irán, Turquía, India, Paquistán, Corea do Sur, Tailandia, Qatar, Kazajstán e Xordania.