Operação NETTRAVELER


“Operação NetTraveler”, campanha global de ciberespionagem dirigida
a organizações governamentais e Institutos de Pesquisa

São Paulo, 6 de Junho de 2013 – A equipe de especialistas da Kaspersky Lab acaba de anunciar a descoberta do NetTraveler, uma família de programas maliciosos usados em ataques APT (sigla em inglês para Advanced Persistent Threat – que se refere a um grupo com capacidade e intenção para atingir um alvo/entidade específica) aptos a comprometer com sucesso mais de 350 vítimas em 40 países. Os alvos do NetTraveler foram tanto do setor público quanto privado, incluindo instituições governamentais, embaixadas, indústrias de petróleo e gás, centros de pesquisa, prestadores de serviços militares e ativistas.

De acordo com o relatório da Kaspersky Lab, essa ameaça atua desde o começo de 2004, no entanto, o período de maior atividade ocorreu entre 2010 e 2013. Recentemente, os principais alvos de ciberespionagem dos criadores do NetTraveler são entidades de exploração do espaço, nanotecnologia, geração de energia, energia nuclear, lasers, medicina e comunicações.

Método de infecção:
 
· A disseminação acontecia por meio de e-mails inteligentes de phishing com anexos maliciosos no formato do Microsoft Office que utilizando duas  vulnerabilidades conhecidas (CVE-2012-0158 e CVE-2010-3333). Embora a Microsoft já tenha publicado os pacotes de correções para elas, as vulnerabilidades ainda são amplamente usadas em ataques direcionados e têm se provado altamente eficazes.
 
·  Os títulos dos anexos maliciosos retratam o esforço obstinado do grupo NetTraveler em personalizar os ataques a fim de infectar perfis específicos. Alguns exemplos incluem:

o   Army Cyber Security Policy 2013.doc
o   Report – Asia Defense Spending Boom.doc
o   Activity Details.doc
o   His Holiness the Dalai Lama’s visit to Switzerland day 4
o   Freedom of Speech.doc
 
Roubo e vazamento de dados:
 
· Durante a análise da Kaspersky Lab, a equipe de especialistas obteve registros de infecção de vários servidores de controle e comando (C&C) do NetTraveler. Eles são usados para instalar outros malware nas máquinas infectadas e extrair dados roubados. Os especialistas da Kaspersky Lab calculam que a quantidade de dados roubados e armazenados nos servidores do NetTraveler passam de 22 gigabytes de informações.
 
·  Os dados extraídos das máquinas infectadas normalmente incluem listas de arquivos do sistema, keyloggs e outros vários tipos de arquivos, como PDFs, planilhas Excel, documentos do Word, arquivos do CorelDraw e projetos do AutoCAD. Além disso, o NetTraveler foi capaz de instalar um malware que rouba informações adicionais como um backdoor, e pode ser personalizado para roubar outros tipos de informações sensíveis, tais como detalhes de configuração para um aplicativo ou arquivos de projetos.
 
Estatísticas global de infecção:

·  Com base na análise C&C do NetTraveler, a Kaspersky Lab identificou um total de 350 vítimas em 40 países, que incluem os Estados Unidos, Canadá, Reino Unido, Rússia, Chile, Marrocos, Grécia, Bélgica, Áustria, Ucrânia, Lituânia, Belarus, Austrália, Japão, China e Hong Kong, Mongólia, Irã, Turquia, Índia, Paquistão, Coréia do Sul, Tailândia, Catar, Cazaquistão e Jordânia. Na América Latina foram registradas vítimas no Chile e em Suriname.
 
· Em conjunto com os dados da análise C&C, os especialistas da Kaspersky Lab usaram a Kaspersky Security Network (KSN – tecnologia de proteção híbrida na nuvem) para identificar estatísticas de infecção adicionais. Os dez países com vítimas detectadas pela KSN foram Mongólia seguido por Rússia, Índia, Cazaquistão, Quirguistão, China, Tajiquistão, Coreia do Sul, Espanha e Alemanha.
 
Descobertas adicionais

Os especialistas da Kaspersky Lab identificaram também seis vítimas que tinham sido alvos tanto do NetTraveler quanto do Outubro Vermelho, outra operação de ciberespionagem descoberta pela Kaspersky Lab em janeiro desse ano. Embora não se observe ligações diretas entre os ataques, o fato de que as vítimas específicas foram infectadas pelas duas campanhas indica que elas são alvos de múltiplos ataques e suas informações são valiosas para os atacantes.

Para acessar a análise completa feita pela Kaspersky Lab visite o SecureList.

Compartilhar:

Leia também

Inscreva-se na nossa newsletter