Il toolkit nocivo NetTraveler ha colpito 350 vittime di alto profilo rubando dati e facendo spionaggio
Gli esperti di Kaspersky Lab hanno pubblicato un nuovo report relativo a NetTraveler, una famiglia di programmi nocivi utilizzati da gruppi di caratura APT per infettare più di 350 vittime di alto profilo in 40 diversi paesi. Il gruppo NetTraveler ha infettato vittime sia nel settore pubblico che privato, comprese istituzioni governative, ambasciate, l’industria petrolifera e del gas, centri di ricerca, aziende che operano nel settore militare e diversi attivisti.
Secondo il report di Kaspersky Lab, questa minaccia è risultata essere attiva già dal 2004, anche se l’attività più intensa è stata registrata tra il 2010 e il 2013. Nel passato più recente i principali settori di interesse delle attività di spionaggio del gruppo NetTraveler sono stati l’esplorazione dello spazio, le nanotecnologie, la produzione di energia, il nucleare, i laser, la medicina e le comunicazioni.
Metodi di infezione
• I criminali infettano le vittime tramite email spear-phishing con allegati documenti Microsoft Office nocivi che sfruttano due vulnerabilità molto usate (CVE-2012-0158 e CVE-2010-3333). Nonostante Microsoft abbia già rilasciato le patch per queste vulnerabilità, queste continuano ad essere ampiamente utilizzate per attacchi mirati, grazie alla loro efficacia.
• La denominazione degli allegati nocivi presenti nelle email di spear-phishing rappresentano lo sforzo del gruppo NetTraveler di personalizzare gli attacchi utilizzati per infettare target di alto profilo. Alcune denominazioni:
o Army Cyber Security Policy 2013.doc
o Report – Asia Defense Spending Boom.doc
o Activity Details.doc
o His Holiness the Dalai Lama’s visit to Switzerland day 4
o Freedom of Speech.doc
Furto di dati e trasferimenti non autorizzati
• Durante l’analisi di Kaspersky Lab, il team di esperti ha ottenuto il registro delle infezioni tramite i server di “Comando e Controllo” di NetTraveler (C&C). I server C&C sono stati usati per installare ulteriori malware sulle macchine già infette ed effettuare trasferimenti di dati non autorizzati. Gli esperti di Kaspersky Lab hanno calcolato che la quantità di dati rubati, archiviati sui server di comando e controllo (C&C) di NetTraveler, è pari a più di 22 gigabyte.
• I dati così raccolti provenienti dalle macchine infette includono elenchi di tutti i file presenti sul disco, i caratteri digitati dall’utente, vari tipi di file come PDF, fogli Excel, e documenti Word. Inoltre, il toolkit NetTraveler installava una backdoor configurabile per sottrarre in un secondo momento ulteriori tipi di file (come i dettagli di configurazione di un’applicazione e/o file CAD).
Statistiche globali delle infezioni
• In base all’analisi di Kaspersky Lab sui dati dei server C&C di NetTraveler, sono state colpite 350 vittime in 40 paesi tra cui Stati Uniti, Canada, Regno Unito, Russia, Cile, Marocco, Grecia, Belgio, Austria, Ucraina, Lituania, Bielorussia, Australia, Hong Kong, Giappone, Cina, Mongolia, Iran, Turchia, India, Pakistan, Corea del Sud, Thailandia, Qatar, Kazakhstan e Giordania.
• In concomitanza con l’analisi dei dati presenti sui server C&C, gli esperti di Kaspersky Lab hanno utilizzato il Kaspersky Security Network (KSN) per identificare ulteriori infezioni. La top 10 dei paesi con il maggior numero di vittime secondo KSN sono stati la Mongolia seguita dalla Russia, India, Kazakhstan, Cina, Tajikistan, Corea del Sud, Spagna e Germania.
Ulteriori risultati
• Durante l’analisi di NetTraveler condotta da Kaspersky Lab, gli esperti dell’azienda hanno identificato in particolare sei vittime che sono state infettate sia da NetTraveler che da Ottobre Rosso, un’altra operazione individuata da Kaspersky Lab a gennaio 2013. Anche se non sono stati rilevati collegamenti diretti tra i criminali di NetTraveler e quelli di Ottobre Rosso, il fatto che alcune vittime specifiche siano state infettate da entrambe queste campagne indica come queste siano personalità di alto livello essendosi occupate, e avendo scambiato informazioni di grande interesse per i criminali informatici di entrambi i gruppi.
Per leggere il report completo della ricerca condotta da Kaspersky Lab, compresi i dati relativi alle vittime, alle tecniche di intervento utilizzate, i dettagli su NetTraveler e i suoi componenti nocivi, visitare Securelist.
I prodotti Kaspersky Lab sono stati in grado di individuare e neutralizzare i programmi nocivi e le relative varianti utilizzate dal toolkit NetTraveler, compresi Trojan-Spy.Win32.TravNet e Downloader.Win32.NetTraveler. I prodotti Kaspersky Lab rilevano gli exploit Microsoft Office utilizzati come allegati alle email negli attacchi di spear-phishing, come Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158.
