Securitatea

Cercetătorii de securitate de la Trend Micro au descoperit o operațiune cyberespionage activă care a compromis până acum computerele aparținând ministerelor, companiilor tehnologice, instituții de cercetare și organizații neguvernamentale din mai mult de 100 de țări.

Operațiunea, pe care Trend Micro o numește Safe, vizează potențialele victime folosind e-mailuri de tip Phishing cu atașamente malware. Cercetătorii companiei au investigat operațiunea și au publicat o lucrare de cercetare cu constatările lor vineri.

Două tactici reperate

Ancheta a descoperit două seturi de servere de comandă și control (C & C) utilizate pentru ceea ce par a fi două separate care utilizează același program malware.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul dvs. de Windows]

O campanie utilizează e-mailuri de tip Phishing cu conținut de tip phishing cu conținut legat de Tibet și Mongolia. Aceste e-mailuri au atașamente.doc care exploatează o vulnerabilitate Microsoft Word patată de Microsoft în aprilie 2012.

Jurnalele de acces colectate de la serverele C & C ale acestei campanii au dezvăluit un total de 243 de adrese IP unice (Internet Protocol) de la 11 țări diferite. Cu toate acestea, cercetatorii au descoperit doar trei victime care erau inca active la momentul investigatiei, cu adrese IP din Mongolia si Sudanul de Sud.

Serverele C & C corespunzatoare celei de-a doua campanii de atac au inregistrat 11.563 adrese IP unice ale victimelor din 116 tari diferite, dar numărul efectiv de victime este probabil mult mai mic, au spus cercetătorii. În medie, 71 de victime au comunicat în mod activ cu acest set de servere C & C la orice moment în timpul anchetei, au spus ei.

E-mailurile de atac folosite în a doua campanie de atac nu au fost identificate, dar campania pare să fie mai mare în amploarea și victimele sunt mai dispersate din punct de vedere geografic. Cele mai importante cinci țări, după numărul de adrese IP ale victimelor, sunt India, SUA, China, Pakistan, Filipine și Rusia.

Malware pe o misiune

Malware-ul instalat pe computerele infectate este conceput în primul rând pentru a fura informații. funcționalitatea sa poate fi îmbunătățită cu module suplimentare. Cercetătorii au descoperit componente speciale pentru plug-in pe serverele de comandă și control, precum și programele care pot fi utilizate pentru extragerea parolelor salvate de la Internet Explorer și Mozilla Firefox, precum și a acreditărilor pentru Remote Desktop Protocol stocate în Windows "

" În timp ce determinăm intenția și identitatea atacatorilor, este adesea dificil de stabilit că am decis că campania sigură este vizată și folosește programe malware dezvoltate de un inginer software profesionist care poate fi conectat la subteranul cybercriminal din China " cercetatorii Trend Micro au spus in ziarul lor. "Acest individ a studiat la o universitate tehnică proeminentă din aceeași țară și pare să aibă acces la un depozit de cod sursă al companiei de servicii Internet."

Operatorii serverelor C & C le-au accesat de la adrese IP în mai multe țări, dar cel mai adesea de la China și Hong Kong, au spus cercetătorii Trend Micro. "Am văzut de asemenea utilizarea VPN-urilor și a instrumentelor proxy, inclusiv Tor, care au contribuit la diversitatea geografică a adreselor IP ale operatorilor."

Articol actualizat la 09:36 PT pentru a reflecta faptul că Trend Micro a schimbat numele operațiunea de cyberespionage care a fost subiectul povestirii și legătura cu raportul său de cercetare.