A equipe de especialistas da Kaspersky Lab anunciou a descoberta do NetTraveler, uma família de programas maliciosos usados em ataques APT (sigla em inglês para Advanced Persistent Threat – que se refere a um grupo com capacidade e intenção para atingir um alvo/entidade específica) aptos a comprometer com sucesso mais de 350 vítimas em 40 países. Os alvos do NetTraveler foram tanto do setor público quanto privado, incluindo instituições governamentais, embaixadas, indústrias de petróleo e gás, centros de pesquisa, prestadores de serviços militares e ativistas.
De acordo com o relatório da Kaspersky Lab, essa ameaça atua desde o começo de 2004, no entanto, o período de maior atividade ocorreu entre 2010 e 2013. Recentemente, os principais alvos de ciberespionagem dos criadores do NetTraveler são entidades de exploração do espaço, nanotecnologia, geração de energia, energia nuclear, lasers, medicina e comunicações.
Método de infecção:
A disseminação acontecia por meio de e-mails inteligentes de phishing com anexos maliciosos no formato do Microsoft Office que utilizando duas vulnerabilidades conhecidas (CVE-2012-0158 e CVE-2010-3333). Embora a Microsoft já tenha publicado os pacotes de correções para elas, as vulnerabilidades ainda são amplamente usadas em ataques direcionados e têm se provado altamente eficazes.
Os títulos dos anexos maliciosos retratam o esforço obstinado do grupo NetTraveler em personalizar os ataques a fim de infectar perfis específicos. Alguns exemplos incluem: army Cyber Security Policy 2013.doc, report – Asia Defense Spending Boom.doc, activity Details.doc, his Holiness the Dalai Lama's visit to Switzerland day 4, freedom of Speech.doc
Roubo e vazamento de dados:
Durante a análise da Kaspersky Lab, a equipe de especialistas obteve registros de infecção de vários servidores de controle e comando (C&C) do NetTraveler. Eles são usados para instalar outros malware nas máquinas infectadas e extrair dados roubados. Os especialistas da Kaspersky Lab calculam que a quantidade de dados roubados e armazenados nos servidores do NetTraveler passam de 22 gigabytes de informações.
Os dados extraídos das máquinas infectadas normalmente incluem listas de arquivos do sistema, keyloggs e outros vários tipos de arquivos, como PDFs, planilhas Excel, documentos do Word, arquivos do CorelDraw e projetos do AutoCAD. Além disso, o NetTraveler foi capaz de instalar um malware que rouba informações adicionais como um backdoor, e pode ser personalizado para roubar outros tipos de informações sensíveis, tais como detalhes de configuração para um aplicativo ou arquivos de projetos.
Os especialistas da Kaspersky Lab identificaram também seis vítimas que tinham sido alvos tanto do NetTraveler quanto do Outubro Vermelho, outra operação de ciberespionagem descoberta pela Kaspersky Lab em janeiro desse ano. Embora não se observe ligações diretas entre os ataques, o fato de que as vítimas específicas foram infectadas pelas duas campanhas indica que elas são alvos de múltiplos ataques e suas informações são valiosas para os atacantes.