Naukowcy odkrywają nową globalną operację cyberespionage o nazwie Bezpieczny

Badacze bezpieczeństwa z firmy Trend Micro odkryli aktywną operację cyberprzestępczości, która do tej pory zagrażała komputerom należącym do ministerstw rządowych, firm technologicznych, mediów, środowisk akademickich. instytucje badawcze i organizacje pozarządowe z ponad 100 krajów.

Operacja określona przez firmę Trend Micro jako bezpieczna, skierowana jest do potencjalnych ofiar, wykorzystując wiadomości typu phishing ze złośliwymi załącznikami. Naukowcy firmy zbadali operację i opublikowali dokument badawczy z wynikami piątku.

Zauważono dwie taktyki

W ramach dochodzenia odkryto dwa zestawy serwerów dowodzenia i kontroli (C & C) używanych do tego, co wydaje się być dwoma oddzielnymi sejfami atakują kampanie, które mają różne cele, ale używają tego samego złośliwego oprogramowania.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Jedna z kampanii wykorzystuje wiadomości phishingowe o treściach związanych z Tybetem i Mongolią. Te e-maile mają załączniki.doc, które wykorzystują lukę Microsoftu, załataną przez Microsoft w kwietniu 2012 r.

Dzienniki dostępu zebrane z serwerów C & C tej kampanii ujawniły łącznie 243 adresy IP unikalnych ofiar (Internet Protocol) z 11 różnych krajów. Jednak naukowcy odkryli tylko trzy ofiary, które nadal były aktywne w czasie ich dochodzenia, z adresami IP z Mongolii i Sudanu Południowego.

Serwery C & C odpowiadające drugiej kampanii ataku zarejestrowały 11 563 unikalnych adresów IP ofiar ze 116 różnych krajów, ale faktyczna liczba ofiar może być znacznie niższa, twierdzą naukowcy. Średnio 71 ofiar aktywnie komunikuje się z tym zestawem serwerów kontroli w dowolnym momencie dochodzenia, powiedzieli.

E-maile z ataków wykorzystywane w drugiej kampanii ataku nie zostały zidentyfikowane, ale kampania wydaje się być większa zakres i ofiary bardziej rozproszone geograficznie. Pięć krajów według liczby adresów IP ofiary to Indie, USA, Chiny, Pakistan, Filipiny i Rosja.

Złośliwe oprogramowanie w misji

Złośliwe oprogramowanie zainstalowane na zainfekowanych komputerach zostało zaprojektowane głównie w celu kradzieży informacji, ale jego funkcjonalność można rozszerzyć o dodatkowe moduły. Naukowcy znaleźli specjalne komponenty wtyczek na serwerach sterujących i kontrolnych, a także gotowe programy, które można wykorzystać do wyodrębnienia zapisanych haseł z Internet Explorera i Mozilli Firefox, a także dane logowania do protokołu Remote Desktop Protocol przechowywane w Windows.

"Podczas ustalania intencji i tożsamości atakujących często trudno jest ustalić, ustaliliśmy, że kampania Bezpieczna jest ukierunkowana i wykorzystuje złośliwe oprogramowanie opracowane przez profesjonalnego inżyniera oprogramowania, który może być podłączony do cyberprzestępczego podziemia w Chinach". badacze Trend Micro powiedzieli w swoim artykule. "Ta osoba studiowała na wybitym uniwersytecie technicznym w tym samym kraju i wydaje się, że ma dostęp do repozytorium kodu źródłowego firmy usług internetowych."

Operatorzy serwerów C & C uzyskiwali do nich dostęp z adresów IP w kilku krajach, ale najczęściej z Chiny i Hongkong twierdzą naukowcy z Trend Micro. "Widzieliśmy także wykorzystanie VPN i narzędzi proxy, w tym Tora, które przyczyniły się do geograficznej różnorodności adresów IP operatorów."

Artykuł zaktualizowano o godzinie 9:36 rano PT, aby odzwierciedlić fakt, że firma Trend Micro zmieniła nazwę operacja cyberespionage, która była przedmiotem opowiadania i link do jej raportu badawczego.