Kaspersky Lab informē, ka atklāts jauns kiberspiegošanas tīkls, kas ieguvis nosaukumu NetTraveler un ir skāris vairāk nekā 350 datorsistēmu 40 valstīs. Uzbrukumam bija pakļautas valsts un privātās struktūras, tostarp valdības iestādes, vēstniecības, zinātniskās pētniecības centri, militārās organizācijas, naftas un gāzes nozares uzņēmumi, kā arī politiskie aktīvisti. Krievija ir nonākusi visvairāk cietušo valstu vidū, ieņemot otro vietu to zemju sarakstā, kas ir piedzīvojušas visjūtamākās operācijas NetTraveler sekas.
Kaspersky Lab ekspertu veiktās izmeklēšanas rezultāti liecina, ka spiegošanas kampaņa ir uzsākta jau 2004. gadā, taču visaktīvāk tā norisinājusies no 2010. līdz 2013. gadam. Pēdējā laikā uzbrucēju interešu lokā ietilpa, piemēram, kosmosa izpētes, nanotehnoloģiju, enerģētikas, tostarp kodolenerģijas, medicīnas un telesakaru nozare.
Cietušo datori tika inficēti, izsūtot pikšķerēšanas vēstules ar kaitīgiem pielikumiem, kas izmanto Microsoft Office ievainojamības (CVE-2012-0158 un CVE-2010-3333). Lai gan uzņēmums Microsoft ir izlaidis atjauninājumu ielāpu šo ievainojamību novēršanai, tās joprojām ir visai izplatītas un bieži tiek izmantotas mērķuzbrukumu veikšanai. Pielikumu nosaukumi uzskatāmi parāda operācijas mērķtiecīgo raksturu: ļaundari pielāgoja dokumenta nosaukumu ik reizi pirms tā nosūtīšanas uz kādu citu organizāciju tādā veidā, lai rosinātu saņēmēju atvērt datni.
Izmeklēšanas gaitā Kaspersky Lab eksperti ieguva piekļuves reģistrus no vairākiem NetTraveler vadības un uzraudzības serveriem, ar kuriem tika veikta papildu kaitīgo programmu instalēšana inficētajās mašīnās un kur tika ielādēti nozagtie dati. Kaspersky Lab speciālisti lēš, ka nozagto datu apjoms visos NetTraveler serveros pārsniedz 22 GB. To vidū visbiežāk ir sastopami sistēmas datņu saraksti, taustiņspiedienu pieraksti un dažādu veidu dokumenti: PDF, Excel, Word. Turklāt NetTraveler rīku vidū tika atklātas sāndurvis, kas spēj zagt arī citu veidu konfidenciālu informāciju, tostarp lietojumprogrammu konfigurācijas aprakstus un automatizētās projektēšanas sistēmas datnes.
Operācijas NetTraveler upuri tika atrasti 40 valstīs, tostarp Krievijā, ASV, Kanādā, Apvienotajā Karalistē, Čīlē, Marokā, Grieķijā, Beļģijā, Austrijā, Ukrainā, Lietuvā, Baltkrievijā, Austrālijā, Japānā, Ķīnā (un tās Honkongas Īpašās Pārvaldes Apgabalā), Mongolijā, Irānā, Turcijā, Indijā, Pakistānā, Dienvidkorejā, Taizemē, Katarā, Kazahstānā, Jordānijā un citās.
Salīdzinot no NetTraveler vadības un uzraudzības serveriem un mākoņtīkla Kaspersky Security Network (KSN) iegūtos datus, Kaspersky Lab eksperti noteica desmit visvairāk cietušās valstis. Dilstošā secībā saraksts ir šāds: Mongolija, Krievija, Indija, Kazahstāna, Kirgizstāna, Ķīna, Tadžikistāna, Dienvidkoreja, Spānija un Vācija.
Turklāt Kaspersky Lab analītiķi atklāja, ka seši operācijas NetTraveler upuri iepriekš ir cietuši citā kiberspiegošanas kampaņā «Sarkanais oktobris», par kuru Kaspersky Lab informēja 2013. gada janvārī. Lai gan netika konstatēta tieša saikne starp NetTraveler un «Sarkanā oktobra» organizētājiem, tas, ka kiberspiegošana ir vērsta pret vieniem un tiem pašiem lietotājiem, liecina, ka to rīcībā ir informācija, ko uzbrucēji uzskata par īpaši vērtīgu.
«Laika intervāls starp kādu kiberspiegošanas tīklu atklāšanu arvien vairāk samazinās. Turklāt, sīkāk papētot, mēs redzam, ka dažādām kampaņām galu galā atklājas kaut kas kopīgs, piemēram, līdzīgi uzbrukuma rīki vai vienu un to pašu upuru izvēle kā gadījumā ar NetTraveler un «Sarkano oktobri». Visi šie fakti liecina, ka kiberspiegošana kļūst arvien «masveidīgāka» un nākotnē vēl turpinās uzņemt apgriezienus,» stāsta Kaspersky Lab vadošais antivīrusu eksperts Vitālijs Kamļuks.
Viss Kaspersky Lab pārskats par operācijas NetTraveler izmeklēšanas rezultātiem ir pieejams vietnē:
http://www.securelist.com/en/blog/8105/NetTraveler_is_Running_Red_Star_APT_Attacks_Compromise_High_Profile_Victims.