Kaspersky Lab: szkodliwe programy III kw. 2013

Przeczytaj także: Kaspersky Lab: szkodliwe programy II kw. 2013

Nowe sztuczki NetTravelera

Specjaliści z Kaspersky Lab wykryli nowy wektor ataków wykorzystywany przez zaawansowane długotrwałe zagrożenie o nazwie NetTraveler, które zainfekowało już setki ofiar stanowiących znane osoby mieszkające w ponad 40 krajach. Znane cele NetTravelera obejmują aktywistów tybetańskich/ujgurskich, firmy z branży naftowej, centra i instytuty naukowo-badawcze, uniwersytety, prywatne firmy, rządy i instytucje rządowe, ambasady i dostawców dla wojska.

Po tym, jak ich działalność została publicznie ujawniona w czerwcu 2013 r., osoby atakujące natychmiast zamknęły wszystkie znane systemy kontroli NetTravelera i przeniosły je na nowe serwery w Chinach, Hong Kongu i Tajwanie, skąd kontynuowały nieprzerwanie ataki.

W ostatnich dniach do licznych aktywistów ujgurskich wysłano kilka e-maili typu spear-phishing. Exploit Javy wykorzystywany do rozprzestrzeniania tej nowej wersji zagrożenia APT Red Star został załatany dopiero w czerwcu 2013 r. i posiada znacznie wyższy współczynnik skuteczności. We wcześniejszych atakach wykorzystywano exploity Office’a (CVE-2012-0158), które zostały załatane przez firmę Microsoft w kwietniu.

Oprócz wykorzystywania e-maili typu spear-phishing osoby przeprowadzające ataki APT zastosowały technikę ataków znaną jako “watering hole” (przekierowania sieciowe i ataki drive-by download na spreparowane domeny) w celu infekowania użytkowników surfujących po sieci. Kaspersky Lab przechwycił i zablokował wiele prób infekcji z domeny “weststock[dot]org”, o której wiadomo, że jest powiązana z wcześniejszymi atakami NetTravelera. Te przekierowania wydają się pochodzić z innych stron internetowych związanych z kampanią ujgurską, które zostały zhakowane i zainfekowane przez osoby wykorzystujące NetTravelera.

Icefog

Kaspersky Lab zidentyfikował "Icefog", niewielką, ale aktywną grupę APT, która koncentruje się na celach znajdujących się w Korei Południowej i Japonii i atakuje łańcuchy dostaw dla firm zachodnich. Operacja rozpoczęła się w 2011 r. i w ciągu ostatnich kilku lat zwiększyła swoją skalę i zasięg. O ile w przypadku większości kampanii APT ofiary infekowane są przez miesiące a nawet lata, a w tym czasie osoby atakujące regularnie kradną dane, członkowie grupy Icefog “zajmują się” swoimi ofiarami pojedynczo – lokalizując i kopiując tylko konkretne, poszukiwane informacje. Po uzyskaniu pożądanych informacji, porzucają swój cel. Osoby atakujące przechwytują poufne dokumenty i plany firmowe, dane uwierzytelniające dostęp do kont e-mail oraz hasła, aby uzyskać dostęp do różnych zasobów w i poza siecią ofiary. W większości przypadków, atakujący wydają się dokładnie wiedzieć, czego chcą od swoich ofiar. Szukają określonych nazw plików, które są szybko identyfikowane i przesyłane do centrum kontroli (C&C). Na podstawie profili zidentyfikowanych ofiar można wnioskować, że osoby atakujące interesują się następującymi sektorami: wojskowym, stoczniowym i morskim, komputerowym i rozwoju oprogramowania, mass mediów i telewizji, firmami badawczymi, operatorami telekomunikacyjnymi i operatorami satelitarnymi.

Badacze z firmy Kaspersky Lab przeprowadzili operację leja na 13 z ponad 70 domen wykorzystywanych przez osoby atakujące. Pozwoliło to uzyskać statystyki dotyczące liczby ofiar na całym świecie. Ponadto, serwery kontroli grupy Icefog zawierają zaszyfrowane dzienniki ofiar wraz ze szczegółowymi informacjami dotyczącymi wykonywanych na nich operacjach. Dzienniki te mogą niekiedy pomóc zidentyfikować cele ataków, a w niektórych przypadkach – ofiary. Oprócz Japonii i Korei Południowej, monitorowano wiele połączeń z lejem w innych krajach, w tym w Tajwanie, Hong Kongu, Chinach, Stanach Zjednoczonych, Australii, Kanadzie, Wielkiej Brytanii, we Włoszech, w Niemczech, Austrii, Singapurze, na Białorusi i w Malezji. Łącznie, Kaspersky Lab zidentyfikował ponad 4000 unikatowych zainfekowanych adresów IP i kilkaset ofiar (kilkadziesiąt ofiar korzystających z systemu Windows i ponad 350 ofiar posiadających system Mac OS X).