Tutkijat paljastavat uuden maailmanlaajuisen tietoverkkotoiminnan nimeltä Safe

Trend Micro: n turvallisuustieteilijät ovat paljastaneet aktiivisen tietoverkkotoiminnan, joka on tähän saakka vaarannanut hallituksen ministeriöihin, teknologiayrityksiin, tiedotusvälineisiin, akateemisiin tutkimuslaitoksia ja kansalaisjärjestöjä yli sadasta maasta.

Trend Micro on nimittänyt Safe, joka kohdistuu potentiaalisiin uhreihin, jotka käyttävät spear-phishing-sähköpostiviestejä haitallisilla liitteillä.

Kaksi taktiikkaa havaitut

Tutkimuksessa paljastettiin kaksi komento-ja-ohjaus (C & C) -palvelinta, joita käytetään kahden erillisen Safe-palvelimen käyttämiseen. hyökkäyskampanjoita, joilla on eri tavoitteet, mutta käyttävät samaa haittaohjelmia.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Yksi kampanja käyttää keihään phishing -viestejä Tiibetissä ja Mongoliassa. Näissä sähköposteissa on.doc-liitetiedostoja, jotka hyödyntävät Microsoftin korjaamaa Microsoft Word -haavoittuvuutta huhtikuussa 2012.

Tämän kampanjan C & C-palvelimista kerätyt kirjautumistunnukset paljastivat yhteensä 243 yksilöllistä uhria IP (Internet Protocol) -palvelun osoitetta 11 eri maasta. Tutkijat löysivät kuitenkin vain kolme uhria, jotka olivat vielä aktiivisia tutkimuksensa aikana ja IP-osoitteet Mongoliasta ja Etelä-Sudanista.

Toisen hyökkäyskampanjan vastaavat C & C-palvelimet kirjoittivat 11 563 ainutlaatuista uhrin IP-osoitetta 116 eri maasta, mutta uhrien todellinen määrä on todennäköisesti paljon pienempi, tutkijat sanoivat. Keskimäärin 71 uhria kommunikoivat aktiivisesti tämän C & C -palvelimen kanssa tiettynä aikana tutkimuksen aikana.

Toisessa hyökkäyskampanjassa käytettyjä hyökkäyssähköpostiviestejä ei ole tunnistettu, mutta kampanja näyttää olevan suurempi laajuus ja uhrit ovat laajemmin levinneet maantieteellisesti. Viisi parasta maata uhrin IP-osoitteen mukaan ovat Intia, Yhdysvallat, Kiina, Pakistan, Filippiinit ja Venäjä.

Haittaohjelmat operaatiossa

Tartunnan saaneisiin tietokoneisiin asennetut haittaohjelmat pyritään ensisijaisesti varastamaan tietoja, mutta sen toimintoja voidaan parantaa lisäyksiköillä. Tutkijat löysivät erikoiskäyttöön tarkoitettuja plug-in-komponentteja komento- ja ohjauspalvelimissa sekä ohjattavissa ohjelmissa, joita voidaan käyttää poimittujen salasanojen poistamiseen Internet Explorerista ja Mozilla Firefoxista sekä Remote Desktop Protocol -kirjoitustiedoista, jotka on tallennettu Windows.

"Vaikka määritettäessä hyökkääjien aikomusta ja identiteettia on usein vaikea saada selville, päätimme, että Safe-kampanja on kohdennettu ja käyttää haittaohjelmia, jonka on kehittänyt ammattimaisen ohjelmistosuunnittelija, joka voi olla yhteydessä Kiinan tietoverkkorikollisuuteen, Trend Micro tutkijat sanoivat paperissaan. "Tämä henkilö opiskeli samassa maassa näkyvässä teknisessä yliopistossa ja näytti pääsevänsä Internet-palveluntarjoajan lähdekoodivarastoon."

C & C -palvelimien operaattorit pääsivät niihin IP-osoitteista useissa maissa, mutta useimmiten Kiina ja Hongkong, Trend Micro tutkijat sanoivat. "Näimme myös VPN: iden ja proxy-työkalujen käytön, mukaan lukien Tor, joka vaikutti operaattorien IP-osoitteiden maantieteelliseen monimuotoisuuteen."

Artikkeli päivitettiin klo 9.36 PT: ssä, kun otetaan huomioon, että Trend Micro on muuttanut tarinan aiheena oleva tietoverkko-operaatio ja linkki sen tutkimuskertomukseen.