«Лаборатория Касперского» раскрыла сеть кибершпионажа NetTraveler

«Лаборатория Касперского» объявила о раскрытии новой кибершпионской сети, получившей название NetTraveler и затронувшей более 350 компьютерных систем в 40 странах мира. Атаке подверглись государственные и частные структуры, в том числе правительственные учреждения, посольства, научно-исследовательские центры, военные организации, компании нефтегазового сектора, а также политические активисты.

Согласно результатам расследования, кампания шпионажа стартовала еще в 2004 г/, однако пик ее пришелся на период с 2010 по 2013 гг. В последнее время в сферу интересов атакующих входили такие отрасли, как освоение космоса, нанотехнологии, энергетика, в том числе ядерная, медицина и телекоммуникации.

Заражение компьютеров происходило при помощи фишинговых писем с вредоносными вложениями, использующими уязвимости в MS Office (CVE-2012-0158 и CVE-2010-3333). Несмотря на то, что компания Microsoft уже выпустила патч обновлений для закрытия этих уязвимостей, они все еще широко распространены и часто используются для нацеленных атак. Названия вложений демонстрируют целевой характер операции: злоумышленники адаптировали имя документа каждый раз при отправлении его в другую организацию таким образом, чтобы побудить получателя открыть файл.

В процессе расследования эксперты «Лаборатории Касперского» получили журналы доступа с нескольких командно-контрольных серверов NetTraveler, через которые осуществлялась установка дополнительных зловредов на зараженные машины и загружались украденные данные. По оценкам специалистов, объем похищенных данных на всех серверах NetTraveler составляет более 22 ГБ. Среди них чаще всего встречаются списки системных файлов, записи нажатий клавиш и различные типы документов: PDF, Excel, Word. Кроме того, среди инструментов NetTraveler был обнаружен бэкдор, способный красть и другие типы конфиденциальной информации, в частности описания конфигураций приложений и файлы системы автоматизированного проектирования.

Жертвы операции NetTraveler были обнаружены в 40 странах мира, включая Россию, США, Канаду, Великобританию, Чили, Марокко, Грецию, Бельгию, Австрию, Украину, Литву, Белоруссию, Австралию, Японию, Китай (и ее автономную территорию Гонконг), Монголию, Иран, Турцию, Индию, Пакистан, Южную Корею, Таиланд, Катар, Казахстан, Иорданию и другие.

Помимо всего прочего, аналитики обнаружили, что 6 жертв операции NetTraveler ранее пострадали от еще одной кампании кибершпионажа «Красный октябрь», о которой компания сообщала в январе 2013 г. И хотя прямых связей между организаторами NetTraveler и «Красного октября» найдено не было, тот факт, что одни и те же пользователи становятся мишенями кибершпионов, свидетельствует о том, что они располагают данными, представляющими особую ценность для злоумышленников.

«Временной интервал между раскрытием той или иной кибершпионской сети с каждым разом становится все меньше. Более того, при детальном изучении, мы видим, что разные кампании рано или поздно пересекаются: либо имеют схожие инструменты атак, либо выбирают одних и тех же жертв, как в случае с NetTraveler и «Красным октябрем». Все эти факты говорят о том, что кибершпионаж становится все более «массовым» и в дальнейшем будет только набирать обороты», — рассказал Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».

Полная версия отчета «Лаборатории Касперского» по итогам расследования операции NetTraveler доступна на сайте www.securelist.com/ru.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365