¡Alerta en el Café! Los amigos de Kaspersky Lab descubren la operación “NetTraveler” afectando afectando a 350 víctimas de alto perfil para cometer robo de información y espionaje.
De acuerdo a Kaspersky Lab, el grupo NetTraveler ha infectado a víctimas de varias organizaciones del sector público y privado, incluyendo a instituciones gubernamentales, embajadas, la industria del petróleo y gas, centros de investigación, contratistas militares y activistas.
Kaspersky Lab dice que esta amenaza ha estado activa desde principios de 2004. Sin embargo, el mayor volumen de actividad ocurrió entre el 2010 y el 2013. Los principales sectores de interés más recientes para actividades de ciberespionaje del grupo NetTraveler incluyen la exploración espacial, la nanotecnología, la producción de energía, la energía nuclear, el láser, la medicina y las comunicaciones.
Kaspersky Lab descubre operación ‘NetTraveler’, campaña global de ciberespionaje que ataca a organizaciones afiliadas a gobiernos e institutos de investigación
* El kit malicioso de NetTraveler infecta a 350 víctimas de alto perfil para cometer robo de información y espionaje.
Sunrise, FL, 4 de junio, 2013 – El equipo de expertos de Kaspersky Lab publicó hoy un informe de investigación sobre NetTraveler, una familia de programas maliciosos utilizados por desarrolladores de ataques dirigidos ( APT) que comprometen a más de 350 víctimas de alto perfil en 40 países. El grupo NetTraveler ha infectado a víctimas de varias organizaciones del sector público y privado, incluyendo a instituciones gubernamentales, embajadas, la industria del petróleo y gas, centros de investigación, contratistas militares y activistas.
Según el informe de Kaspersky Lab, esta amenaza ha estado activa desde principios de 2004. Sin embargo, el mayor volumen de actividad ocurrió entre el 2010 y el 2013. Los principales sectores de interés más recientes para actividades de ciberespionaje del grupo NetTraveler incluyen la exploración espacial, la nanotecnología, la producción de energía, la energía nuclear, el láser, la medicina y las comunicaciones.
Métodos de infección:
• Los atacantes infectan a las víctimas mediante el envío de astutos correo de spear-phishing con adjuntos maliciosos de Microsoft Office que están infectados con dos vulnerabilidades altamente explotadas (CVE-2012-0158 y CVE-2010-3333). A pesar de que Microsoft ya publicó parches para estas vulnerabilidades, estos correos todavía son ampliamente utilizados en ataques dirigidos y han demostrado ser eficaces.
• Los títulos de los archivos maliciosos incluidos en los correos de phishing representan el esfuerzo tenaz del grupo NetTraveler a personalizar sus ataques con el objetivo de infectar a sus víctimas de alto perfil. Algunos títulos notables de los documentos maliciosos incluyen:
• Army Cyber Security Policy 2013.doc (Politica de ciber seguridad de las fuerzas armadas 2013.doc)
• Report – Asia Defense Spending Boom.doc (Reporte- Boom de inversion de la defensa asiatica.com)
• Activity Details.doc (Detalles de actividad.com)
• His Holiness the Dalai Lama’s visit to Switzerland day 4 (Visita de su santidad el Dalai Lama a Suecia dia 4)
• Freedom of Speech.doc (Libertad de expresion.doc)
Robo de datos y exfiltración:
• Durante el análisis de Kaspersky Lab, el equipo de expertos obtuvo registros de infección de varios de los servidores de comando y control (C & C) de NetTraveler. Los servidores C & C se utilizan para instalar programas maliciosos adicionales en los equipos infectados y extraer datos robados. Los expertos de Kaspersky Lab calculan que la cantidad de datos robados almacenados en los servidores C & C de NetTraveler es más de 22 gigabytes.
• Datos extraídos de las máquinas infectadas solían incluir listas de archivos de sistema, keyloggs, y varios tipos de archivos, incluyendo PDFs, hojas de Excel, documentos de MS Word y archivos. Además, el kit de herramientas de NetTraveler pudo instalar malware adicional para el robo de información como backdoor, y este pudo ser personalizado para robar otros tipos de información sensible, como datos de configuración de una aplicación o archivos de diseño asistidos por el computador.
Estadísticas de infecciones globales:
• Basado en el análisis de Kaspersky Lab de los datos C & C de NetTraveler, hubo un total de 350 víctimas en 40 países en todo el mundo incluyendo a los Estados Unidos, Canadá, Reino Unido, Rusia, Chile, Marruecos, Grecia, Bélgica, Austria, Ucrania, Lituania, Bielorrusia, Australia, Hong Kong, Japón, China, Mongolia, Irán, Turquía, India, Pakistán, Corea del Sur, Tailandia, Qatar, Kazajstán y Jordania.
• En conjunto con el análisis de datos de C & C, los expertos de Kaspersky Lab utilizaron la Red de Seguridad Kaspersky (KSN) para identificar las estadísticas adicionales de infección. Los diez países con más víctimas detectadas por KSN son Mongolia seguido por Rusia, India, Kazajstán, Kirguistán, China, Tayikistán, Corea del Sur, España y Alemania.
Mapa de ataques de NetTraveler
Hallazgos adicionales
• Durante el análisis de Kaspersky Lab sobre NetTraveler, los expertos de la compañía identificaron seis víctimas que habían sido infectadas por tanto en NetTraveler como en Octubre Rojo, que fue otra operación de ciberespionaje analizado por Kaspersky Lab en enero de 2013. Aunque no se observaron relaciones directas entre los atacantes de NetTraveler y los de Octubre Rojo, el hecho de que víctimas específicas fueron infectadas por estas dos campañas indica que personas de alto perfil son el blanco de múltiples amenazas ya que contienen información valiosa para los atacantes.
Para leer el análisis completo de la investigación de Kaspersky Lab, incluyendo indicadores de compromiso, las técnicas de remediación y detalles de NetTraveler y sus componentes maliciosos, por favor visite a Securelist.
Los productos de Kaspersky Lab detectan y neutralizan a los programas maliciosos y sus variantes utilizados por el kit de herramientas de NetTraveler, como Trojan-Spy.Win32.TravNet y Downloader.Win32.NetTraveler. Los productos de Kaspersky Lab detectan a los exploits de Microsoft Office utilizados en los ataques de spear-phishing, incluyendo a Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158.
Acerca de Kaspersky Lab
Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía se ubicó entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 15 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para los consumidores, pequeñas y medianas empresas y grandes compañías. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios en todo el mundo. Para obtener mayor información, visite http://latam.kaspersky.com.
*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del “Pronóstico Mundial de Endpoint Security 2012-2016 y Acciones de Proveedores 2011? – (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de Endpoint Security en 2011.
