NetTraveler wraca z nowymi sztuczkami

3 września, 2013

Analitycy z Kaspersky Lab zidentyfikowali nowe ataki przeprowadzane w ramach cyberszpiegowskiej kampanii NetTraveler (znanej również jako „Travnet”, „Netfile” oraz „Red Star”), stanowiącej zaawansowane, długotrwałe zagrożenie, które zainfekowało już setki ofiar wysokiego szczebla w ponad 40 państwach. Znane cele NetTravelera obejmują aktywistów tybetańskich/ujgurskich, firmy z branży naftowej, centra i instytucje naukowo-badawcze, uniwersytety, prywatne firmy, rządy i instytucje rządowe, ambasady oraz firmy współpracujące z wojskiem.

Natychmiast po publicznym ujawnieniu operacji NetTraveler w czerwcu 2013 r. cyberprzestępcy zamknęli wszystkie znane centra kontroli i przenieśli je na nowe serwery w Chinach, Hong Kongu i Tajwanie. Co więcej, jak pokazuje najnowszy incydent, ataki były kontynuowane bez przeszkód.

W ciągu ostatnich dni eksperci z Kaspersky Lab odnotowali kilka e-maili wysłanych licznym aktywistom ujgurskim. Do dystrybucji nowej wersji NetTravelera cyberprzestępcy wykorzystują lukę w Javie, która została załatana całkiem niedawno – w czerwcu 2013 r. Wariant ten jest znacznie skuteczniejszy od swojego poprzednika, który wykorzystywał załataną w kwietniu 2013 r. lukę w pakiecie Microsoft Office.

Oprócz wykorzystywania phishingowych wiadomości e-mail, cyberprzestępcy zastosowali technikę „watering hole” (przekierowania sieciowe i ataki drive-by download na sfałszowanych domenach) w celu infekowania ofiar surfujących po internecie.

W ciągu minionego miesiąca specjaliści z Kaspersky Lab przechwycili i zablokowali wiele prób infekcji z domeny “wetstock[dot]org”, która jest powiązana z poprzednimi atakami NetTravelera. Przekierowania te wydają się pochodzić ze stron związanych z aktywistami ujgurskimi, które zostały zainfekowane przez osoby odpowiedzialne za NetTravelera.

Eksperci z Globalnego Zespołu ds. Badań i Analiz (GReAT) z Kaspersky Lab przewidują, że osoby odpowiedzialne za NetTravelera mogą wkrótce zastosować kolejne metody infekowania swoich ofiar i przedstawiają zalecenia pozwalające zabezpieczyć się przed tego typu działaniami cyberprzestępczymi:

  • Uaktualnij Javę do najnowszej wersji lub, jeżeli nie używasz Javy, odinstaluj ją.
  • Uaktualnij Microsoft Windows i pakiet Office do najnowszych wersji.
  • Uaktualnij oprogramowanie osób trzecich, takie jak Adobe Reader.
  • Korzystaj z bezpiecznej przeglądarki, takiej jak Google Chrome, która posiada szybszy cykl rozwoju i publikacji łat niż domyślna w systemie Windows przeglądarka Internet Explorer.
  • Bądź ostrożny, klikając odsyłacze i otwierając załączniki od nieznanych osób.

„W przypadku grupy stojącej za NetTravelerem nie zaobserwowaliśmy jeszcze wykorzystania luk, dla których nie istnieją łaty (zero-day). Kampania ta jest jednak aktywna, a cyberprzestępcy ciągle rozwijają swoją platformę i dlatego będziemy uważnie przyglądać się ich ruchom” – powiedział Costin Raiu, dyrektor Globalnego zespołu ds. badań i analiz (GReAT), Kaspersky Lab.

Więcej informacji na temat nowego ataku z udziałem NetTravelera pojawi się już wkrótce w serwisie SecureList.pl prowadzonym przez Kaspersky Lab.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]