Securitysoftwareleverancier Kaspersky Lab heeft een nieuw onderzoeksrapport gepubliceerd over NetTraveler, een reeks kwaadwillende programma’s die cyberspionnen gebruiken om met succes meer dan 350 belangrijke slachtoffers in veertig landen schade te berokkenen. De NetTraveler-groep heeft slachtoffers in verschillende instellingen besmet, zowel in de overheids- als in de privésector, met inbegrip van overheidsinstellingen, ambassades, de olie- en gassector, onderzoekscentra, militaire bedrijven en activisten.
Volgens het rapport van Kaspersky Lab is deze cyberspion al sinds 2004 actief. Het grootste activiteitvolume heeft echter betrekking op de periode van 2010 tot en met 2013. De laatste tijd zijn de belangrijkste interessedomeinen van de NetTraveler-groep voor cyberspionageactiviteiten toegespitst op ruimteverkenning, nanotechnologie, energieproductie, kernenergie, lasers, geneeskunde en communicatie.
Besmettingsmethoden
De aanvallers besmetten de slachtoffers door ingenieuze spear-phishing e-mails te versturen met kwaadwillende Microsoft Office-bijlagen die twee vaak benutte kwetsbaarheden (CVE-2012-0158 en CVE-2010-3333) bevatten. Hoewel Microsoft voor deze kwetsbaarheden al patches ter beschikking stelde, worden ze nog altijd algemeen gebruikt voor doelgerichte aanvallen en hebben ze bewezen effectief te zijn.
De titels van de kwaadwillende bijlagen in de spear-phishing e-mails weerspiegelen de hardnekkige inspanningen die de NetTraveler-groep levert om zijn aanvallen te personaliseren om belangrijke doelwitten te besmetten. Enkele opvallende titels van kwaadwillige documenten zijn ‘Army Cyber Security Policy 2013.doc’, ‘Report – Asia Defense Spending Boom.doc’, ‘Activity Details.doc’, ‘His Holiness the Dalai Lama’s visit to Switzerland day 4’ en ‘Freedom of Speech.doc’.
Gegevensdiefstal en -ophaling
Tijdens de analyse van Kaspersky Lab ontving het team van experts besmettingslogboeken van verschillende C&C-servers (command and control) van NetTraveler. C&C-servers worden gebruikt om extra malware te installeren op besmette machines en gestolen gegevens op te halen. Volgens de berekeningen van de experts van Kaspersky Lab zou de hoeveelheid gestolen gegevens op de C&C-servers van NetTraveler goed zijn voor meer dan 22 gigabyte.
Gegevens opgehaald van besmette machines omvatten doorgaans bestandssysteemlijsten, keyloggers en verschillende bestandstypes, waaronder pdf’s, Excel-rekenbladen, Word-documenten, et cetera. Bovendien kon de NetTraveler-toolkit extra malware installeren om heimelijk gegevens te stelen en kon de toolkit gepersonaliseerd worden om andere types van gevoelige informatie te stelen, zoals configuratiedetails voor een toepassing of cad-bestanden.
Uit Kaspersky Lab’s analyse van NetTraveler’s C&C-gegevens blijkt dat er in totaal 350 slachtoffers waren in veertig landen. In combinatie met de C&C-gegevensanalyse gebruikten Kaspersky Lab’s experts het Kaspersky Security Network (KSN) om extra besmettingsstatistieken te identificeren.
Red October
Tijdens Kaspersky Lab’s analyse van NetTraveler identificeerden de experts van het bedrijf zes slachtoffers die besmet werden door zowel NetTraveler als Red October, een andere cyberspionageactie die Kaspersky Lab in januari 2013 analyseerde. Hoewel er geen rechtstreeks verband werd gevonden tussen de NetTraveler-aanvallers en de Red October-spionnen, blijkt uit het feit dat specifieke slachtoffers door beide campagnes werden getroffen dat deze belangrijke slachtoffers het doelwit zijn van verschillende spionnen omdat hun informatie een kostbaar basisproduct is voor de aanvallers.
En eens te meer wordt bewezen dat het gebruik van een Linux-desktop je beschermt tegen dit soort problemen.
Het Microsoft-ecosysteem is een monocultuur die het aanvallers makkelijk maakt. Diversiteit is nodig, zowel in de biologie als in de ict.
Ach, als de hele wereld morgen op Linux overgaat, dan komen daar vast ook bugs en kwetsbaarheden uit.
@ IT-er
Klopt, kijk naar Android. Alhoewel Linux op zich een duidelijk betere rechtenstructuur bezit zolang de distro zich Unix-conform gedraagt.
Als native Unix-engineer ben ook ik geneigd anti-Microsoft uitingen te plaatsten. Het is echter niet het OS, maar de gebruiker die bestookt wordt met spear-phishing e-mails. De techniek is weliswaar de drager, maar de zwaktste schakel is de mens. Naast malware; virussen en decrypten van sleutels is social engineering en identiteitsfraude wel arbeidsintensief, maar ook zeer succesvol.
Een pluim voor Kaspersky om hier bovenop te zitten en resultaten kenbaar te maken. Natuurlijk is NetTraveller maar een topje van de ijsberg, want 350 mensen over veertig landen is helemaal niets, maar het
zijn juist de doelgerichte ‘spearing’ acties die doeltreffend zijn.