A kutatók új globális kiberespionage műveletet fedeznek fel a Safe

A Trend Micro biztonsági kutatói feltártak egy aktív internetes operációt, amely eddig veszélybe sodorta a kormányzati minisztériumok, technológiai vállalatok, médiumok, akadémiai a kutatóintézetek és a nem kormányzati szervezetek több mint 100 országból.

A művelet, amelyet a Trend Micro szinkronizálta, a potenciális áldozatokat célozza meg a spear phishing e-maileket rosszindulatú mellékletekkel. A vállalat kutatói megvizsgálták a műtétet, és pénteken jelentettek be egy kutatási munkát.

Két taktika észrevehető

A vizsgálat két parancsnoksági és ellenőrző szervert tartalmaz, amelyek két különálló támadási kampányokat, amelyek különböző célokat használnak, de ugyanazt a rosszindulatú programot használják.

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows számítógépről]

Az egyik kampány lándzsás phishing e-maileket használ tibeti és mongoliai kapcsolatos tartalmakkal. Ezek az e-mailek olyan.doc mellékletekkel rendelkeznek, amelyek kihasználják a Microsoft által 2012 áprilisában kijavított Microsoft Word biztonsági rést.

A kampány C & C szervereiből származó hozzáférési naplók összesen 243 egyedi áldozat IP (Internet Protocol) címet fedtek le 11 különböző országból. A kutatók azonban csak három olyan áldozatot találták, akik a vizsgálatuk idején még aktívak voltak, IP-címüket Mongóliából és Dél-Szudánból.

A második támadási kampánynak megfelelő C & C szerverek 116 egyedülálló áldozati IP címet regisztráltak 116 különböző országból, de az áldozatok tényleges száma valószínűleg sokkal alacsonyabb, a kutatók szerint. Átlagosan 71 áldozata volt aktívan kommunikálva ezzel a C & C szerverrel a vizsgálat alatt, azt állították.

A második támadási kampányban használt támadási e-maileket nem azonosították, de a kampány nagyobbnak tűnik hatálya és az áldozatok szélesebb körben elterjedt földrajzilag. Az első öt ország az áldozatok IP-címe szerint Indiában, az Egyesült Államokban, Kínában, Pakisztánban, a Fülöp-szigeteken és Oroszországban van.

Kártevők a misszióban

A fertőzött számítógépeken telepített kártevők elsősorban az információk ellopására szolgálnak funkcionalitása további modulokkal bővíthető. A kutatók különleges rendeltetésű plug-in komponenseket találtak a parancs- és vezérlőkiszolgálókon, valamint az eltárolt jelszavakat az Internet Explorerből és a Mozilla Firefox-ból, valamint a Remote Desktop Protocol hitelesítő adatokból Windows.

"A támadók szándékának és személyazonosságának meghatározása során gyakran nehezen lehet meggyőződni, meghatároztuk, hogy a Biztonságos kampány célzott, és olyan szoftverfejlesztő programot fejlesztett ki, amely a kínai számítógépes bűnözéshez köthető" jelentette be a Trend Micro kutatói. "Ez az egyén ugyanazon ország kiemelkedő műszaki egyetemén tanult, és úgy tűnik, hogy hozzáférést biztosít az internetes szolgáltató cég forráskód-tárolójához."

A C & C szerverek üzemeltetői számos ország IP-címéből érkeztek hozzájuk, de leggyakrabban Kína és Hong Kong, a Trend Micro kutatói szerint. "Azt is láttuk, hogy VPN-eket és proxy eszközöket használtak, beleértve a Torot is, ami hozzájárult a piaci szereplők IP-címeinek földrajzi sokféleségéhez."

A cikk frissítve 9:36 órakor, hogy a Trend Micro megváltoztatta a a történet tárgyát képező kiberespionage művelet és a kutatási jelentéshez fűződő link.