1

NetTraveler, una campaña global de ciberespionaje

NetTraveler infecta a 350 víctimas de alto perfil para cometer robo de información y espionaje

El equipo de expertos de Kaspersky Lab publicó hoy un informe de investigación sobre NetTraveler, una familia de programas maliciosos utilizados por desarrolladores de ataques dirigidos ( APT) que comprometen a más de 350 víctimas de alto perfil en 40 países. El grupo NetTraveler ha infectado a víctimas de varias organizaciones del sector público y privado, incluyendo a instituciones gubernamentales, embajadas, la industria del petróleo y gas, centros de investigación, contratistas militares y activistas.

Según el informe de Kaspersky Lab, esta amenaza ha estado activa desde principios de 2004. Sin embargo, el mayor volumen de actividad ocurrió entre el 2010 y el 2013. Los principales sectores de interés más recientes para actividades de ciberespionaje del grupo NetTraveler incluyen la exploración espacial, la nanotecnología, la producción de energía, la energía nuclear, el láser, la medicina y las comunicaciones.

Métodos de infección:

• Los atacantes infectan a las víctimas mediante el envío de astutos correo de spear-phishing con adjuntos maliciosos de Microsoft Office que están infectados con dos vulnerabilidades altamente explotadas (CVE-2012-0158 y CVE-2010-3333). A pesar de que Microsoft ya publicó parches para estas vulnerabilidades,  estos correos todavía son ampliamente utilizados en ataques dirigidos y han demostrado ser eficaces.

• Los títulos de los archivos maliciosos incluidos en los correos de phishing representan el esfuerzo tenaz del grupo NetTraveler a personalizar sus ataques con el objetivo de infectar a sus víctimas de alto perfil. Algunos títulos notables de los documentos maliciosos incluyen:

  • Army Cyber Security Policy 2013.doc (Politica de ciber seguridad de las fuerzas armadas 2013.doc)
  • Report – Asia Defense Spending Boom.doc  (Reporte- Boom de inversion de la defensa asiatica.com)
  • Activity Details.doc (Detalles de actividad.com)
  • His Holiness the Dalai Lama’s visit to Switzerland day 4 (Visita de su santidad el Dalai Lama a Suecia dia 4)
  • Freedom of Speech.doc (Libertad de expresion.doc)

Robo de datos y exfiltración:

• Durante el análisis de Kaspersky Lab, el equipo de expertos obtuvo registros de infección de varios de los servidores de comando y control (C & C) de NetTraveler. Los servidores C & C se utilizan para instalar programas maliciosos adicionales en los equipos infectados y extraer datos robados. Los expertos de Kaspersky Lab calculan que la cantidad de datos robados almacenados en los servidores C & C de  NetTraveler es más de 22 gigabytes.

• Datos extraídos de las máquinas infectadas solían incluir listas de archivos de sistema, keyloggs, y varios tipos de archivos, incluyendo PDFs, hojas de Excel, documentos de MS Word y archivos. Además, el kit de herramientas de NetTraveler pudo instalar malware adicional para el robo de información como backdoor, y este pudo ser personalizado para robar otros tipos de información sensible, como datos de configuración de una aplicación o archivos de diseño asistidos por el computador.

Estadísticas de infecciones globales:

• Basado en el análisis de Kaspersky Lab de los datos C & C de NetTraveler, hubo un total de 350 víctimas en 40 países en todo el mundo incluyendo a los Estados Unidos, Canadá, Reino Unido, Rusia, Chile, Marruecos, Grecia, Bélgica, Austria, Ucrania, Lituania, Bielorrusia, Australia, Hong Kong, Japón, China, Mongolia, Irán, Turquía, India, Pakistán, Corea del Sur, Tailandia, Qatar, Kazajstán y Jordania.

• En conjunto con el análisis de datos de C & C, los expertos de Kaspersky Lab utilizaron la Red de Seguridad Kaspersky (KSN) para identificar las estadísticas adicionales de infección. Los diez países con más víctimas detectadas por KSN son Mongolia seguido por Rusia, India, Kazajstán, Kirguistán, China, Tayikistán, Corea del Sur, España y Alemania.

                                  NetTraveler

Mapa de ataques de NetTraveler

Hallazgos adicionales

• Durante el análisis de Kaspersky Lab sobre NetTraveler, los expertos de la compañía identificaron seis víctimas que habían sido infectadas por tanto en NetTraveler como en Octubre Rojo, que fue otra operación de ciberespionaje analizado por Kaspersky Lab en enero de 2013.  Aunque no se observaron relaciones directas entre los atacantes de NetTraveler y los de Octubre Rojo, el hecho de que víctimas específicas fueron infectadas por estas dos campañas indica que personas de alto perfil son el blanco de múltiples amenazas ya que contienen información valiosa para los atacantes.

Para leer el análisis completo de la investigación de Kaspersky Lab, incluyendo indicadores de compromiso, las técnicas de remediación y detalles de NetTraveler y sus componentes maliciosos, por favor visite a Securelist.

Los productos de Kaspersky Lab detectan y neutralizan a los programas maliciosos y sus variantes utilizados por el kit de herramientas de NetTraveler, como Trojan-Spy.Win32.TravNet y Downloader.Win32.NetTraveler. Los productos de Kaspersky Lab detectan a los exploits de Microsoft Office utilizados en los ataques de spear-phishing, incluyendo a Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158.

 

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.