Kaspersky Lab: szkodliwe programy II kw. 2013

Przeczytaj także: Kaspersky Lab: szkodliwe programy III kw. 2012

Cyberszpiegostwo i ataki ukierunkowane

NetTraveler

Na początku czerwca Kaspersky Lab poinformował o odkryciu, które otworzyło zupełnie nowy rozdział w dziedzinie cyberszpiegostwa.

Rodzina szkodliwych programów o nazwie NetTraveler, wykorzystywana w zaawansowanych, długotrwałych atakach ukierunkowanych (APT) zainfekowała ponad 350 ofiar w 40 krajach, wśród których znalazły się ważne instytucje i znane osobistości. Cele NetTraveler obejmowały zarówno sektor prywatny jak i publiczny, w tym instytucje rządowe, ambasady, branżę naftową i gazową, ośrodki badawcze, firmy pracujące dla wojska oraz aktywistów.

Zagrożenie to, aktywne od początku 2004 roku, kradnie dane związane z eksploracją przestrzeni kosmicznej, nanotechnologią, wywarzaniem energii, energią nuklearną, laserami, medycyną oraz komunikacją.

Osoby atakujące infekowały ofiary poprzez wysyłanie wiadomości e-mail typu spear-phishing ze szkodliwymi załącznikami pakietu Microsoft Office, zawierającymi dwie powszechnie wykorzystywane luki w zabezpieczeniach (CVE-2012-0158 oraz CVE-2010-3333). Luki te – mimo że Microsoft opublikował już na nie łaty - nadal są często wykorzystywane w atakach ukierunkowanych i – co więcej - okazują się skuteczne.

Dane pobierane z zainfekowanych maszyn obejmowały głównie listy systemów plików, dzienniki wciskanych klawiszy oraz różne rodzaje plików, w tym PDF, arkusze Excela, dokumenty i pliki Worda. Ponadto, zestaw narzędzi NetTraveler potrafił instalować dodatkowe oprogramowanie kradnące informacje działające jak „tylne drzwi” i mógł kraść inne rodzaje poufnych informacji, takich jak dane dotyczące konfiguracji dla aplikacji lub pliki projektowania wspomaganego komputerowo.

Oprócz analizy danych dostarczonych przez centrum kontroli (C&C) analitycy z Kaspersky Lab wykorzystali również usługę Kaspersky Security Network (KSN) w celu uzyskania dodatkowych danych statystycznych dotyczących infekcji. Do 10 krajów, w których znajdowało się najwięcej ofiar zidentyfikowanych przez KSN, należała Rosja, Indie, Kazachstan, Kirgistan, Chiny, Korea Południowa, Hiszpania i Niemcy.

Winnti

Na początku kwietnia Kaspersky Lab opublikował szczegółowy raport dotyczący długotrwałej kampanii cyberszpiegowskiej prowadzonej przez grupę cyberprzestępczą o nazwie „Winnti”. Grupa ta atakuje firmy z branży gier internetowych od 2009 roku i oprócz kradzieży własności intelektualnej koncentruje się na kradzieży certyfikatów cyfrowych podpisanych przez producentów legalnego oprogramowania. Grupa Winnti kradła również kod źródłowy projektów gier online.

Trojan wykorzystywany do takich ataków jest biblioteką DLL skompilowaną dla środowisk 64-bitowego systemu Windows. Szkodnik wykorzystywał poprawnie podpisany szkodliwy sterownik i działał jako w pełni funkcjonalne narzędzie zdalnej administracji, które zapewnia osobom atakującym możliwość kontrolowania komputera ofiary bez wiedzy użytkownika. Odkrycie tego szkodnika miało istotne znaczenie, ponieważ trojan ten był pierwszym szkodliwym programem w 64-bitowych wersjach systemu Microsoft Windows, który posiadał ważny podpis cyfrowy.

Gdy eksperci z Kaspersky Lab zaczęli analizować kampanię prowadzoną przez Winnti, odkryli, że zainfekowanych zostało ponad 30 firm z branży gier internetowych - w większości były to firmy zajmujące się rozwojem oprogramowania tworzące internetowe gry wideo z Azji Południowo-Wschodniej. Jednak ofiarami tej grupy padły również firmy z Niemiec, Stanów Zjednoczonych, Japonii, Chin, Rosji, Brazylii, Peru oraz Białorusi.

Grupa Winnti wciaż jest aktywna, a Kaspersky Lab nadal prowadzi dochodzenie dotyczące jej aktywności.

Ciąg dalszy historii Winnti – skradzione ceryfikaty wykorzystane w atakach tybetańskich i ujgurskich

Zaledwie tydzień po opublikowaniu raportu dotyczącego grupy Winnti nasz zespół badawczy wykrył exploita dla Flash Playera na stronie organizacji pomocy dzieciom, które zbiegły z Tybetu. Strona została zaatakowana w celu dystrybucji backdoorów podpisanych przy użyciu certyfikatów skradzionych w atakach z udziałem grupy Winnti.

Był to klasyczny przykład tzw. ataku „watering hole”, w którym osoby atakujące identyfikowały preferowane strony internetowe ofiar i włamały się na nie w celu zainfekowania ich maszyn. Oprócz wymienionej wcześniej strony zaatakowane zostały również inne portale związane z aktywistami tybetańskimi i ujgurskimi, które w efekcie rozprzestrzeniały exploita "Exploit.SWF.CVE-2013-0634.a".