מתקפות סייבר
קספרסקי חושפת את קמפיין הריגול NetTraveler
צוות המומחים של מעבדת קספרסקי חושף היום דוח מחקר מפורט המנתח את NetTraveler, משפחה של תוכנות זדוניות הנמצאת בשימוש על ידי גופי ריגול לתקיפת 350 מטרות בעלות חשיבות גבוהה ב- 40 מדינות. קבוצת NetTraveler פגעה במגוון מוסדות במגזר הציבורי והפרטי כאחד, כולל גופי ממשל, שגרירויות, חברות גז ונפט, מכוני מחקר, ספקים צבאיים ופעילים חברתיים.
על פי הדוח של קספרסקי, האיום פעיל לפחות משנת 2004, אך פעילות בהיקפים גדולים התבצעה בשנים 2010-2013. לאחרונה, תחומי העניין המרכזיים בפעילות הריגול של קבוצת NetTraveler, כללו תוכניות חלל, ננו-טכנולוגיה, הפקת אנרגיה, אנרגיה גרעינית, לייזר, רפואה ותקשורת.
שיטות ההדבקה
– התוקפים הדביקו קורבנות על ידי שליחת דוא"ל "פישינג" ממוקד וחכם, המכיל קבצים מצורפים של מיקרוסופט אופיס שכוללים מטען עם שתי פרצות שכיחות מאוד (CVE-2012-0158 ו- CVE-2010-3333). למרות שמיקרוסופט כבר הפיצה עדכונים לתיקון הפרצות, הן עדיין מהוות נקודות פריצה פופולאריות בהתקפות נקודתיות והוכחו כיעילות.
– הכותרות של הקבצים הזדוניים שצורפו להודעות הממוקדות, מצביעות על המאמץ הרב של קבוצת NetTraveler בהתאמה אישית של ההתקפות כדי לפרוץ דרך כניסה למטרות חשובות. כותרות לדוגמא של המסמכים הזדוניים הן:
– Army Cyber Security Policy 2013.doc
– Report – Asia Defense Spending Boom.doc
– Activity Details.doc
– His Holiness the Dalai Lama’s visit to Switzerland day 4
– Freedom of Speech.doc
גניבת נתונים ושליפתם
– במהלך הניתוח של מעבדת קספרסקי, השיג צוות המומחים לוגים ממספר שרתי פיקוד ושליטה של NetTraveler. השרתים משמשים להתקנת קוד זדוני נוסף על המכונות הנגועות ושליפתם. מומחי קספרסקי חישבו כי כמות המידע המאוחסן על שרתי הפיקוד והשליטה מגיעה ל- 22 גיגה.
– המידע שנשלף מהמחשבים הנגועים כולל בדרך כלל רשימות של מערכת הקבצים, רישום של לחיצות מקלדת, וסוגים שונים של קבצים, כולל PDF, גליונות אקסל, מסמכי וורד וקבצים. בנוסף, מערכת ה- NetTraveler מסוגלת להתקין קוד זדוני נוסף לגניבת נתונים בדלת אחורית, וניתן להתאימה לגניבת סוגים אחרים של מידע רגיש כגון הגדרות של יישומים או קבצי עיצוב דיגיטלי.
– בהתבסס על ניתוח נתוני שרתי הפיקוד והשליטה של NetTraveler, מעבדת קספרסקי זיהתה 350 קורבנות ב- 40 מדינות, בהן ארה"ב, קנדה, בריטניה, רוסיה, צ'ילה, מרוקו, יוון, בלגיה, אוסטריה, אוקראינה, ליטא, בלארוס, אוסטרליה, הונג קונג, יפן, סין, מונגוליה, אירן, טורקיה, הודו, פקיסטן, דרום קוריאה, תאילנד, קטר, קזחסטן וירדן.
– בשילוב הניתוח של נתוני השרתים שלנתוני תפוצה בינלאומית NetTraveler, מומחי קספרסקי השתמשו ברשת ההגנה של קספרסקי (KSN) כדי לקבוע נתונים נוספים אודות תפוצת האיום. 10 המדינות בהן היה מספר הקורבנות הגדול ביותר שזוהה על ידי רשת ההגנה, הם מונגוליה, ולאחריה רוסיה, הודו, קזחסטן, קירג'יסטן, סין, טג'יקיסטן, דרום קוריאה, ספרד וגרמניה.
ממצאים נוספים
במהלך הניתוח של ה- NetTraveler על ידי מעבדת קספרסקי מומחי החברה זיהו 6 קורבנות שהודבקו גם על ידי NetTraveler וגם על ידי "אוקטובר האדום", פעילות ריגול מקוונת נוספת שנותחה על ידי קספרסקי בינואר 2013. למרות שאין קשר ישיר בין התוקפים שהפעילו את NetTraveler ו"אוקטובר האדום", העובדה כי ישנם קורבנות שנפגעו על ידי שני הקמפיינים מצביעה על כך שתוקפים מרובים מכוונים למטרות בעלות חשיבות גבוהה בגלל המידע רב הערך שהם מחזיקים.
לקריאת דוח המחקר המלא, כולל תסמינים של חשיפה לאיום, טכניקות תיקון, ופרטים לגבי NetTraveler והרכיבים הזדוניים שלו, בקרו ב- Securelist.
