Home » Seguridad » Kaspersky Lab pone al descubierto operación ‘NetTraveler’

Kaspersky Lab pone al descubierto operación ‘NetTraveler’

Kaspersky Lab detecta ‘NetTraveler’, una campaña global de ciberespionaje que ataca a organizaciones afiliadas a gobiernos e institutos de investigación.

NetTravelerKaspersky Lab divulgó un informe de investigación sobre NetTraveler, una familia de programas maliciosos utilizados por desarrolladores de ataques dirigidos (APT) que comprometen a más de 350 víctimas de alto perfil en 40 países. El grupo NetTraveler ha infectado a víctimas de varias organizaciones del sector público y privado, incluyendo a instituciones gubernamentales, embajadas, la industria del petróleo y gas, centros de investigación, contratistas militares y activistas.

Según el informe de Kaspersky Lab, esta amenaza ha estado activa desde principios de 2004. Sin embargo, el mayor volumen de actividad ocurrió entre el 2010 y el 2013. Los principales sectores de interés más recientes para actividades de ciberespionaje del grupo NetTraveler incluyen la exploración espacial, la nanotecnología, la producción de energía, la energía nuclear, el láser, la medicina y las comunicaciones.

Métodos de infección

• Los atacantes infectan a las víctimas mediante el envío de astutos correo de spear-phishing con adjuntos maliciosos de Microsoft Office que están infectados con dos vulnerabilidades altamente explotadas (CVE-2012-0158 y CVE-2010-3333). A pesar de que Microsoft ya publicó parches para estas vulnerabilidades, estos correos todavía son ampliamente utilizados en ataques dirigidos y han demostrado ser eficaces.

• Los títulos de los archivos maliciosos incluidos en los correos de phishing representan el esfuerzo tenaz del grupo NetTraveler a personalizar sus ataques con el objetivo de infectar a sus víctimas de alto perfil. Algunos títulos notables de los documentos maliciosos incluyen:

–Army Cyber Security Policy 2013.doc (Politica de ciber seguridad de las fuerzas armadas 2013.doc)

–Report – Asia Defense Spending Boom.doc (Reporte- Boom de inversion de la defensa asiatica.com)

–Activity Details.doc (Detalles de actividad.com)

–His Holiness the Dalai Lama’s visit to Switzerland day 4 (Visita de su santidad el Dalai Lama a Suecia día 4)

–Freedom of Speech.doc (Libertad de expresion.doc)

Robo de datos y exfiltración

• Durante el análisis de Kaspersky Lab, el equipo de expertos obtuvo registros de infección de varios de los servidores de comando y control (C & C) de NetTraveler. Los servidores C & C se utilizan para instalar programas maliciosos adicionales en los equipos infectados y extraer datos robados. Los expertos de Kaspersky Lab calculan que la cantidad de datos robados almacenados en los servidores C & C de NetTraveler es más de 22 gigabytes.

• Datos extraídos de las máquinas infectadas solían incluir listas de archivos de sistema, keyloggs, y varios tipos de archivos, como PDF, hojas de Excel, documentos de MS Word y archivos. Además, el kit de herramientas de NetTraveler pudo instalar malware adicional para el robo de información como backdoor, y este pudo ser personalizado para robar otros tipos de información sensible, como datos de configuración de una aplicación o archivos de diseño asistidos por el computador.

Estadísticas de infecciones globales

• Basado en el análisis de Kaspersky Lab de los datos C & C de NetTraveler, hubo un total de 350 víctimas en 40 países en todo el mundo incluyendo a los Estados Unidos, Canadá, Reino Unido, Rusia, Chile, Marruecos, Grecia, Bélgica, Austria, Ucrania, Lituania, Bielorrusia, Australia, Hong Kong, Japón, China, Mongolia, Irán, Turquía, India, Pakistán, Corea del Sur, Tailandia, Qatar, Kazajstán y Jordania.

• En conjunto con el análisis de datos de C & C, los expertos de Kaspersky Lab utilizaron la Red de Seguridad Kaspersky (KSN) para identificar las estadísticas adicionales de infección. Los diez países con más víctimas detectadas por KSN son Mongolia seguido por Rusia, India, Kazajstán, Kirguistán, China, Tayikistán, Corea del Sur, España y Alemania.

 

About OnDigital Magazine

OnDigital Magazine es la revista TI para empresas y negocios de América Latina y globales. Digitalizada para el lector B2B.