NetTraveler

A már tíz éve velünk levő trójai

Leginkább a diplomáciai képviseletek és a kormányzati intézmények után kémkednek.

_{2014.08.28 14:35Szilágyi Szabolcs - ma.hu}

Kinyomtatom

+Nagyobb betűméret-Kisebb betűméret

_{Freedigitalphotos chanpipat}

2014-ben ünneplik a "NetTraveler művelet" nevű globális kiberkémkedési kampány tízéves fennállását az akció mögött álló hackerek. Bár úgy tűnik, az első mintákat 2005-ben állították össze, egyes jelek arra mutatnak, hogy a rosszindulatú aktivitás már 2004-ben elindult. Tíz év alatt a NetTraveler több mint 350 ismert célpontot támadott 40 országban. Idén a Kaspersky Lab emelkedést tapasztalt az ujgurokat és a tibetieket támogatók ellen intézett támadások számában; az incidenseket az új titkosítási sémájú NetTraveler frissített változatával követték el. Vizsgálódásai során a Kaspersky Lab hét parancs és vezérlő (C&C) szervert fedezett fel Hongkongban és egyet az Egyesült Államokban.

Újabban a kiberkémkedési aktivitás a diplomáciai képviseletek (32 százalék), a kormányzati intézmények (19 százalék), a magánszféra (11 százalék), a katonaság (9 százalék), az ipar és infrastruktúra (7 százalék), az űrkutatási szervezetek (6 százalék), a kutatóintézetek (4 százalék), az aktivisták (3 százalék), az IT szektor (3 százalék), az egészségügy (2 százalék) és a sajtó (1 százalék) ellen irányul.

Fertőzési mód: egy "megújult"backdoor
A NetTravel mögött álló hackercsoport a támadásokat hagyományosan a kiszemelt aktivistáknak küldött adathalász e-mailekkel indítja. A leveleknek két mellékletük van, egy ártalmatlan JPG fájl és egy Microsoft Word DOC fájl, amely tartalmazza a Microsoft Office CVE-2012-0158 jelű sérülékenységének kihasználásához szükséges kódot. A Kaspersky Lab megállapította, hogy ez a rosszindulatú fájl a Microsoft Office kínai nyelvű változatával készült.

Ha a Microsoft Office sebezhető változatával nyitják meg a fájlt, a kihasználó kód szabadjára engedi a Trojan-Spy vírust. A malware konfigurációs fájl új formátummal rendelkezik, amely kismértékben eltér a "régebbi" NetTraveler mintáktól. A NetTraveler fejlesztői nyilvánvalóan megpróbálták elrejteni a malware konfigurációját.

A sikeres fertőzés után a NetTraveler elküldi üzemeltetőinek a gépen található DOC, XLS, PPT, RTF és PDF formátumú fájlokat.

"Miközben a NetTraveler támadásokat vizsgáltuk, megállapítottuk, hogy a NetTraveler C&C szerverein tárolt lopott adatok mennyisége meghaladja a 22 gigabájtot. Ez egy jelenleg is folyó kiberkémkedési kampány, és az aktivisták ellen elkövetett legutóbbi támadások alapján állíthatjuk, hogy valószínűleg még legalább tíz évig el fog tartani. Az IT biztonsági cégek immár a legkifinomultabb fenyegetéseket is képesek azonosítani, azonban a NetTraveler példája azt mutatja, hogy egy fenyegetés hosszú ideig észrevétlen maradhat," - mondta Kurt Baumgartner, a Kaspersky Lab vezető biztonsági kutatója.

Így védekezhetünk a frissített NetTraveler malware ellen
- Blokkoljuk a fentebb említett gazdagépeket a tűzfalunkkal
- Frissítsük a Microsoft Windows-t és a Microsoft Office-t a legújabb változatra
- Tartózkodjunk az ismeretlenektől származó levélmellékletek és hivatkozások megnyitásától
- Használjunk biztonságos böngészőt, például a Google Chrome-ot, amely gyorsabb fejlesztési és javítási ciklussal rendelkezik

A Kaspersky Lab termékei felismerik és semlegesítik a NetTraveler Toolkit által használt rosszindulatú programokat és változataikat, melyek a következők: Trojan-Dropper.Win32.Agent.lifr, Trojan-Spy.Win32.TravNet, Trojan-Spy.Win32.TravNet.qfr, Trojan.BAT.Tiny.b és Downloader.Win32.NetTraveler. Emellett felismerik a célzott adathalász támadásoknál a Microsoft Office sérülékenységének kihasználására alkalmazott kódokat is, melyek a következők: Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158 és Exploit.MSWord.CVE-2012-0158.db.

Hozzáadom a könyvjelzőhözKüldd ide: DeliciousKüldd ide: DiggKüldd ide: FacebookKüldd ide: myspaceKüldd ide: twitter