Výzkumníci odhalili novou globální operaci cyberespionage nazvanou Safe

Vědci v oblasti bezpečnosti z Trend Micro odhalili aktivní kyberpřenosovou operaci, která zatím ohrozila počítače patřící vládním ministerstvům, technologickým společnostem, výzkumných institucí a nevládních organizací z více než 100 zemí.

Operace, kterou Trend Micro označila za bezpečnou, zaměřuje potenciální oběti pomocí e-mailů se špionážním kopírováním se škodlivými přílohami. Vědečtí pracovníci společnosti zkoumali operaci a publikovali výzkumný dokument se svými zjištěními v pátek.

Dvě taktiky viděné

Šetření odhalilo dvě sady serverů příkazu a kontroly (C & C), které se používaly pro to, které obsahují různé cíle, ale používají stejný malware.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Jedna kampaň používá e-maily s phishingem proti kopím s obsahem souvisejícím s Tibet a Mongolskem. Tyto e-maily obsahují přílohu.doc, která využívá zranitelnost aplikace Microsoft Word, kterou společnost Microsoft opravila v dubnu 2012.

Přístupové protokoly získané z serverů C & C této kampaně odhalily celkem 243 jedinečných adres IP (Internet Protocol) z 11 různých zemí. Výzkumníci však našli pouze tři oběti, které byly v době jejich vyšetřování aktivní, s adresami IP z Mongolska a Jižní Súdánu.

Servery C & C odpovídající druhé útokové kampani zaznamenaly 11 563 jedinečných adres IP adres z 116 různých zemí, ale skutečný počet obětí bude pravděpodobně mnohem nižší, uvedli vědci. V průměru bylo během vyšetřování aktivně komunikováno 71 obětí s touto sadou serverů C & C

Útokové emaily používané v druhé útokové kampani nebyly identifikovány, avšak kampaň se zdá být větší v rozsah a oběti, které jsou geograficky rozptýlenější. Mezi nejvýznamnějšími pěti zeměmi patří IP adresa Indií, USA, Číny, Pákistánu, Filipín a Ruska.

Malware na misi

Malware nainstalovaný na infikovaných počítačích je primárně navržen tak, aby ukradl informace, ale jeho funkčnost může být rozšířena o další moduly. Výzkumníci zjistili, že na řídících a příkazových serverech jsou k dispozici speciální plug-in komponenty, stejně jako off-the-shelf programy, které lze použít k extrahování uložených hesel z aplikace Internet Explorer a Mozilla Firefox a pověření Remote Desktop Protocol uložená v Windows "

" Při určování záměru a totožnosti útočníků je stále obtížné zjistit, že jsme se rozhodli, že je bezpečná kampaň cílená a používá malware vyvinutý profesionálním softwarovým inženýrem, který může být v Číně připojen k počítačovým podvodným počítačům " výzkumníci Trend Micro uvedli ve svém příspěvku. "Tento jedinec studoval na významné technické univerzitě ve stejné zemi a zdá se, že má přístup k repozitáři zdrojových kódů společnosti poskytující služby internetových služeb."

Provozovatelé serverů C & C je v několika zemích přistupovali z adres IP, ale nejčastěji od Čína a Hongkong, uvedli výzkumní pracovníci společnosti Trend Micro. "Viděli jsme také použití VPN a nástrojů proxy, včetně společnosti Tor, která přispěla k geografické rozmanitosti adres IP operátorů."

Článek byl aktualizován o 9:36 hod PT, aby se ukázalo, že společnost Trend Micro změnila název operace cyberespionage, která byla předmětem příběhu, a odkaz na její výzkumnou zprávu.