Cercetatorii au descoperit SafeNet, o noua operatiune de spionaj cibernetic global

[Matt]

Atacul a infectat computere apartinand companiilor, guvernelor si altor organizatii din peste 100 de tari, releva Trend Micro.

Cercetatorii in domeniul securitatii din cadrul Trend Micro au descoperit o operatiune activa de spionaj cibernetic, care a afectat pana acum computere apartinand ministerelor, companiilor de tehnologie, mass-media, institutiilor de cercetare academica si organizatiilor non-guvernamentale din peste 100 de tari.

Operatiunea, pe care Trend Micro a numit-o SafeNet, vizeaza potentialele victime utilizand emailuri spear phishing cu atasamente malware. Cercetatorii Trend Micro au analizat operatiunea, publicand o lucrare in acest sens.

Ancheta a acoperit doua seturi de servere de comanda si control (C&C) utilizate pentru ceea ce par a fi doua campanii SafeNet distincte, cu tinte diferite, insa folosind acelasi malware.

Una dintre campanii utilizeaza email-uri spear phishing cu continut legat de Tibet si Mongolia. Aceste emailuri contin atasamente .doc care exploateaza o vulnerabilitate Microsoft Word remediata de catre Microsoft in luna aprilie 2012.

Jurnalele de acces colectate de pe serverele de comanda si control ale acestei campanii au dezvaluit 243 de adrese IP unice ale victimelor din 11 tari diferite. Cu toate acestea, cercetatorii au descoperit doar 3 victime active la momentul desfasurarii anchetei, cu adrese IP din Mongolia si Sudan.

Analiza serverelor de comanda si control corespunzatoare celei de-a doua campanii de atac a dezvaluit un numar de 11.563 adrese IP unice ale victimelor din 116 tari diferite, insa numarul real al victimelor ar putea sa fie mult mai mic, au explicat cercetatorii, indicand ca, in medie, 71 de victime au comunicat in mod activ cu serverele de comanda si control in cursul anchetei.

Emailurile utilizate in cadrul celui de-al doilea atac nu au fost identificate, insa domeniul de aplicare al campaniei pare a fi mai mare iar victimele dispersate din punct de vedere geografic. Primele tari cu cel mai mare numar de adrese IP ale victimelor sunt India, SUA, China, Pakistan, Filipine si Rusia.

Malware-ul instalat pe computerele infectate este conceput, in principal, pentru a fura informatii, insa functionalitatea sa poate fi imbunatatita cu module suplimentare. Cercetatorii au descoperit componente plug-in cu destinatie speciala pe serverele de comanda si control, precum si programe off-the-shelf care pot fi utilizate pentru a extrage parolele salvate de pe Internet Explorer si Mozilla Firefox, precum si datele de autentificare Remote Desktop Protocol stocate in Windows.

"Desi determinarea scopului si intentia atacatorilor sunt de multe ori greu de stabilit, am ajuns la concluzia ca SafeNet utilizeaza un malware dezvoltat de catre un inginer software profesional care ar putea fi legat de reteaua de infractionalitate cibernetica din China", au explicat cercetatorii Trend Micro. "Aceasta persoana a studiat la o universitate tehnica importanta in aceasta tara si pare a avea acces la codurile sursa ale unei companii de servicii internet".

Sursa : SmartNews.Ro