Video: Moș Nicolae - Cântece de iarnă pentru copii | TraLaLa (Octombrie 2024)
O operațiune continuă de spionaj cibernetic, denumită Safe, a vizat diverse organizații din mai mult de 100 de țări, cu e-mailuri de lanț phishing, au descoperit cercetătorii Trend Micro.
Operațiunea se pare că a vizat agenții guvernamentale, firme de tehnologie, media, instituții de cercetare academică și organizații non-guvernamentale, Kylie Wilhoit și Nart Villeneuve, doi cercetători de amenințare Trend Micro, au scris pe blogul Security Intelligence. Trend Micro consideră că peste 12.000 de adrese IP unice răspândite în 120 de țări sau mai mult au fost infectate cu programele malware. Cu toate acestea, numai 71 de adrese IP, în medie, au comunicat activ cu serverele C&C în fiecare zi.
"Numărul real de victime este mult mai mic decât numărul de adrese IP unice", a spus Trend Micro în whitepaper-ul său, dar a refuzat să speculeze asupra unei cifre reale.
Se bazează în condiții de siguranță pe spear
Safe constă în două campanii distincte de phishing cu lance care folosesc aceeași tulpină de malware, dar folosind infrastructuri diferite de comandă și control, au scris cercetătorii în cartea albă. E-mailurile de tip phishing dintr-o campanie aveau linii de subiect care se referă fie la Tibet, fie la Mongolia. Cercetătorii nu au identificat încă o temă comună în subiectele utilizate pentru a doua campanie, care a revendicat victime în India, SUA, Pakistan, China, Filipine, Rusia și Brazilia.
Sigur Trend Micro a trimis e-mailuri sigure de phishing cu lance către victime și le-a păcălit să deschidă un atașament rău intenționat, care a exploatat o vulnerabilitate Microsoft Office. Cercetătorii au descoperit mai multe documente Word rău intenționate care, atunci când au fost deschise, au instalat în tăcere o sarcină utilă pe computerul victimei. Vulnerabilitatea execuției codului de la distanță în Windows Common Controls a fost aplicată în aprilie 2012.
Detalii despre infrastructura C&C
În prima campanie, computere din 243 de adrese IP unice din 11 țări diferite conectate la serverul C&C. În a doua campanie, computerele din 11.563 de adrese IP din 116 de țări diferite au comunicat cu serverul C&C. India a părut a fi cea mai vizată, cu peste 4.000 de adrese IP infectate.
Unul dintre serverele C&C a fost creat astfel încât oricine să poată vedea conținutul directoarelor. Drept urmare, cercetătorii Trend Micro au putut determina cine sunt victimele și, de asemenea, să descarce fișierele care conțin codul sursă din spatele serverului C&C și al programelor malware. Analizând codul serverului C&C, se pare că operatorii au reîncărcat codul sursă legitimă de la un furnizor de servicii Internet din China, a declarat Trend Micro.
Atacatorii se conectau la serverul C&C prin VPN și foloseau rețeaua Tor, îngreunând urmărirea în care se bazează atacatorii. "Diversitatea geografică a serverelor proxy și VPN-urilor a făcut dificilă determinarea adevăratei lor origini", a spus Trend Micro.
Atacatorii ar putea să folosească malware-ul chinezesc
Pe baza unor indicii din codul sursă, Trend Micro a spus că este posibil ca programul malware să fie dezvoltat în China. La acest moment nu se știe dacă operatorii Safe au dezvoltat programul malware sau l-au cumpărat de la altcineva.
"În timp ce am stabilit intenția și identitatea atacatorilor rămâne dificilă, am evaluat că această campanie este vizată și folosește malware dezvoltat de un inginer software profesionist care poate fi conectat la subteranul cibernetic din China", au scris cercetătorii pe blog.
