NetTraveler infecta a 350 vĆctimas de alto perfil para cometer robo de informaciĆ³n y espionaje
El equipo de expertos de Kaspersky Lab publicĆ³ hoy un informe de investigaciĆ³n sobre NetTraveler, una familia de programas maliciosos utilizados por desarrolladores de ataques dirigidos ( APT) que comprometen a mĆ”s de 350 vĆctimas de alto perfil en 40 paĆses. El grupo NetTraveler ha infectado a vĆctimas de varias organizaciones del sector pĆŗblico y privado, incluyendo a instituciones gubernamentales, embajadas, la industria del petrĆ³leo y gas, centros de investigaciĆ³n, contratistas militares y activistas.
SegĆŗn el informe de Kaspersky Lab, esta amenaza ha estado activa desde principios de 2004. Sin embargo, el mayor volumen de actividad ocurriĆ³ entre el 2010 y el 2013. Los principales sectores de interĆ©s mĆ”s recientes para actividades de ciberespionaje del grupo NetTraveler incluyen la exploraciĆ³n espacial, la nanotecnologĆa, la producciĆ³n de energĆa, la energĆa nuclear, el lĆ”ser, la medicina y las comunicaciones.
MĆ©todos de infecciĆ³n:
ā¢ Los atacantes infectan a las vĆctimas mediante el envĆo de astutos correo de spear-phishing con adjuntos maliciosos de Microsoft Office que estĆ”n infectados con dos vulnerabilidades altamente explotadas (CVE-2012-0158 y CVE-2010-3333). A pesar de que Microsoft ya publicĆ³ parches para estas vulnerabilidades,Ā estos correos todavĆa son ampliamente utilizados en ataques dirigidos y han demostrado ser eficaces.
ā¢ Los tĆtulos de los archivos maliciosos incluidos en los correos de phishing representan el esfuerzo tenaz del grupo NetTraveler a personalizar sus ataques con el objetivo de infectar a sus vĆctimas de alto perfil. Algunos tĆtulos notables de los documentos maliciosos incluyen:
- Army Cyber Security Policy 2013.doc (Politica de ciber seguridad de las fuerzas armadas 2013.doc)
- Report – Asia Defense Spending Boom.docĀ (Reporte- Boom de inversion de la defensa asiatica.com)
- Activity Details.doc (Detalles de actividad.com)
- His Holiness the Dalai Lamaās visit to Switzerland day 4 (Visita de su santidad el Dalai Lama a Suecia dia 4)
- Freedom of Speech.doc (Libertad de expresion.doc)
Robo de datos y exfiltraciĆ³n:
ā¢ Durante el anĆ”lisis de Kaspersky Lab, el equipo de expertos obtuvo registros de infecciĆ³n de varios de los servidores de comando y control (C & C) de NetTraveler. Los servidores C & C se utilizan para instalar programas maliciosos adicionales en los equipos infectados y extraer datos robados. Los expertos de Kaspersky Lab calculan que la cantidad de datos robados almacenados en los servidores C & C deĀ NetTraveler es mĆ”s de 22 gigabytes.
ā¢ Datos extraĆdos de las mĆ”quinas infectadas solĆan incluir listas de archivos de sistema, keyloggs, y varios tipos de archivos, incluyendo PDFs, hojas de Excel, documentos de MS Word y archivos. AdemĆ”s, el kit de herramientas de NetTraveler pudo instalar malware adicional para el robo de informaciĆ³n como backdoor, y este pudo ser personalizado para robar otros tipos de informaciĆ³n sensible, como datos de configuraciĆ³n de una aplicaciĆ³n o archivos de diseƱo asistidos por el computador.
EstadĆsticas de infecciones globales:
ā¢ Basado en el anĆ”lisis de Kaspersky Lab de los datos C & C de NetTraveler, hubo un total de 350 vĆctimas en 40 paĆses en todo el mundo incluyendo a los Estados Unidos, CanadĆ”, Reino Unido, Rusia, Chile, Marruecos, Grecia, BĆ©lgica, Austria, Ucrania, Lituania, Bielorrusia, Australia, Hong Kong, JapĆ³n, China, Mongolia, IrĆ”n, TurquĆa, India, PakistĆ”n, Corea del Sur, Tailandia, Qatar, KazajstĆ”n y Jordania.
ā¢ En conjunto con el anĆ”lisis de datos de C & C, los expertos de Kaspersky Lab utilizaron la Red de Seguridad Kaspersky (KSN) para identificar las estadĆsticas adicionales de infecciĆ³n. Los diez paĆses con mĆ”s vĆctimas detectadas por KSN son Mongolia seguido por Rusia, India, KazajstĆ”n, KirguistĆ”n, China, TayikistĆ”n, Corea del Sur, EspaƱa y Alemania.
Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā Ā
Mapa de ataques de NetTraveler
Hallazgos adicionales
ā¢ Durante el anĆ”lisis de Kaspersky Lab sobre NetTraveler, los expertos de la compaƱĆa identificaron seis vĆctimas que habĆan sido infectadas por tanto en NetTraveler como en Octubre Rojo, que fue otra operaciĆ³n de ciberespionaje analizado por Kaspersky Lab en enero de 2013.Ā Aunque no se observaron relaciones directas entre los atacantes de NetTraveler y los de Octubre Rojo, el hecho de que vĆctimas especĆficas fueron infectadas por estas dos campaƱas indica que personas de alto perfil son el blanco de mĆŗltiples amenazas ya que contienen informaciĆ³n valiosa para los atacantes.
Para leer el anĆ”lisis completo de la investigaciĆ³n de Kaspersky Lab, incluyendo indicadores de compromiso, las tĆ©cnicas de remediaciĆ³n y detalles de NetTraveler y sus componentes maliciosos, por favor visite a Securelist.
Los productos de Kaspersky Lab detectan y neutralizan a los programas maliciosos y sus variantes utilizados por el kit de herramientas de NetTraveler, como Trojan-Spy.Win32.TravNet y Downloader.Win32.NetTraveler. Los productos de Kaspersky Lab detectan a los exploits de Microsoft Office utilizados en los ataques de spear-phishing, incluyendo a Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158.