7 июня 2013

NetTraveler: раскрыта новая кибершпионская кампания

Бизнес

«Лаборатория Касперского» публикует первую часть нового исследования крупномасштабной кампании по кибершпионажу, получившую название NetTraveler, жертвами которой стали 350 крупных правительственных и коммерческих организаций в 40 странах.

Наибольшее количество заражений мы отметили в Монголии, сразу за ней идут Индия и, увы, Россия. В числе пострадавших Казахстан, Китай, Таджикистан, Южная Корея, Тайланд, Гонконг, Япония, страны ближневосточного региона, Канада, Великобритания, США, Украина, Беларусь, Литва и другие. Как видно на нижеприведённой карте, под удар попали практически все страны Азии, при этом почти не задетыми оказались Африка и Южная Америка.

NetTraveler Distribution Map

Объекты атаки весьма разнообразны, однако по большей части это весьма крупные структуры — в первую очередь, правительственные и дипломатические учреждения, представители нефтегазовой отрасли, военные подрядчики, а также гражданские активисты. В последнее время особый интерес для организаторов этих атак сосредоточился на таких сферах как космические исследования, нанотехнологии, производство энергии, атомная энергетика, лазеры, медицина и технологии связи. В общем, речь идёт о самых передовых научных областях. Относящаяся к ним информация имеет особую ценность — в том числе, в денежном выражении.

NetTraveler Distribution

Название NetTraveler взято из фразы «NetTraveler Is Running», встречающейся в коде ранних версий вредоносной программы, которую организаторы этой шпионской кампании используют в качестве основного инструмента. Фраза англоязычная (хоть и написанная с ошибкой), при этом анализ кода позволяет с уверенностью сказать, что родным языком для большинства организаторов этой кампании является китайский, при этом они владеют английским языком на «рабочем» уровне. По нашим оценкам, в группу входят порядка 50 человек.

Самые ранние версии NetTraveler, которые нам удалось перехватить, относятся к 2005 году. Впрочем, есть основания полагать, что первые версии программы появились ещё в 2004-м, таким образом, операция длится уже без малого девять лет. Судя по тому, что большая часть перехваченных сэмплов относятся к 2010-2013 году, именно тогда операция приобрела наибольший размах.

Основным способом распространения шпионского ПО стали целенаправленные атаки — спиэр-фишинговые письма с вложенными документами Microsoft Office, включающими эксплойты для старых уязвимостей CVE-2012-0158 и CVE-2010-3333. При этом организаторы атаки часто используют вместе с NetTraveler другое вредоносное ПО: в ходе анализа контрольных серверов мы выяснили, что на машины жертв подсаживались также бэкдоры Saker/Xbox и PCRat/Zegost.

Главный интерес для злоумышленников представляют списки файлов на жёстком диске, клавиатурные логи, а также различные типы документов (.doc, .xls, .ppt, .pdf) и прочая приватная информация. Информацию воровали годами: по нашим подсчётам, общий объём информации, хранившейся на контрольных серверах NetTraveler, составил более 22 гигабайт, так что злоумышленников можно «поздравить» с богатым уловом.

Важно отметить, что злоумышленники не использовани уязвимости нулевого дня, руткиты или каких-либо другие продвинутые методы проникновения. А потому удивительно, что такие неизощрённые атаки оказались столь действенными. По всей видимости, в компаниях и организациях, ставших жертвами NetTraveler, средства информационной защиты либо отсутствовали, либо были очень слабыми.

Необходимо упомянуть, что это уже третья, после Winnti и Red October, глобальная кибершпионская операция, отмеченная «Лабораторией» за этот год. Интересно, что и за Winnti стоит китайская хакерская группировка. Она, впрочем, использовала значительно более продвинутый инструментарий для своих тёмных дел, нежели те, кто создал NetTraveler.

Остаётся добавить, что в ходе последнего исследования мы выявили шесть организаций, пострадавших и от NetTraveler, и от Red October. Это не означает, что организаторы обеих кампаний как-то связаны, скорее речь идёт о том, что их просто интересовала одна и та же информация.

Полный текст первой части исследования доступен здесь.