返回新闻列表

卡巴斯基实验室揭示“网络旅行者行动” 一场针对政府机构和研究机构的全球性网络间谍攻击行动

NetTraveler恶意工具感染了350家重要机构,目的是窃取数据并进行监控

        近日,卡巴斯基实验室专家团队发表了一篇最新的关于NetTraveler的研究报告。一些高级持续性威胁攻击者使用NetTraverler家族的恶意程序成功感染和攻陷了40个国家的超过350家重要机构。NetTraveler的受害者分布广泛,即包括公共机构,还包括私营企业,其中既有政府机构、大使馆,还包括石油和天然气企业、研究中心、军方承包商以及政治活动家。

        根据卡巴斯基实验室报告,NetTraveler从2004年初就开始活跃。但是其活跃最高峰发生于2010至2013年。最近,NetTraveler背后的攻击者的兴趣转向太空开发、纳米技术、能源生产、核能、激活、制药以及通讯,并针对相关领域开展了网络间谍行动。

感染手段:

  • 攻击者通过发送精心伪装的钓鱼式攻击邮件感染受害者,邮件中包含恶意Office文档附件,其中包括两种高危漏洞(CVE-2012-0158 和 CVE-2010-3333)。尽管微软早已经修补了这些漏洞,但其仍然在针对行攻击中被广泛使用,并且已证明攻击非常有效。
  • 钓鱼式攻击邮件中所含恶意附件的标题说明NetTraveler攻击者精心设计了攻击,其目的是为了感染那些重要目标。这些恶意附件的标题包括以下几种:
  • 2013年军队网络安全策略.doc
  • 报告—亚洲防御开支剧增.doc
  • 行动详情.doc
  • 达赖喇嘛访问瑞士的第四天
  • 言论自由.doc

数据窃取和渗透

  • 对其进行分析过程中,卡巴斯基实验室的专家团队从多个NetTraveler的命令和控制服务器(C&C)获取到感染日志。命令和控制服务器用来在受感染计算机上安装其它恶意软件,并将窃取到的数据泄漏出来。卡巴斯基实验室的专家计算出存储在NetTraveler的命令和控制服务器上的窃取到的数据容量超过22 GB。
  • 从受感染计算机上泄漏的数据通常包括文件系统列表、键盘击键记录、各种类型的文件(包括PDF、Excel表格和Word文档等文件)。此外,NetTraveler工具还能够安装用于窃取信息的恶意软件作为后门程序,并对其进行配置,用于窃取其它类型的敏感信息,例如应用程序的配置详情或计算机辅助设计文件。

全球感染数据:

  • 根据卡巴斯基实验室对NetTraveler的C&C数据进行分析,有40个国家和地区的350家机构遭受感染,其中包括美国、加拿大、英国、俄罗斯、智利、摩洛哥、希腊、比利时、奥地利、乌克兰、立陶宛、白俄罗斯、澳大利亚、香港、日本、中国、蒙古、伊朗、土耳其、印度、巴基斯坦、韩国、泰国、卡塔尔、哈萨克斯坦和约旦。
  • 结合C&C数据分析,卡巴斯基实验室专家还使用卡巴斯基安全网络(KSN)进一步确认感染数据。卡巴斯基安全网络检测到的受害者排名前十位的国家分别为蒙古、俄罗斯、印度、哈萨克斯坦、吉尔吉斯斯坦、中国、塔吉克斯坦、韩国、西班牙和德国。

其它发现

  • 对NetTraveler分析过程中,卡巴斯基实验室的安全专家还发现有6家受感染机构同时被NetTraveler和红色十月所感染。红色十月是另一种网络间谍攻击行动,由卡巴斯基实验室在2013年1月所发现。虽然目前没有发现NetTraveler和红色十月幕后的攻击者有直接关联,但同一个机构被两种攻击行动所感染,表明这些重要机构的信息对攻击者来说是非常有价值的商品。

        想要阅读卡巴斯基实验室的详细报告,包括被攻击后的表现特征、修复技巧以及NetTraveler详情以及其恶意组件,请访问Securelist.

卡巴斯基实验室产品能够检测和清除NetTraveler工具所使用的恶意程序及其变种,包括iTrojan-Spy.Win32.TravNet 和Downloader.Win32.NetTraveler。卡巴斯基实验室产品还能够检测钓鱼式攻击中所利用的漏洞,包括Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158。