В течение нескольких лет мы наблюдали за активностью кибершпионской сети, которая заразила компьютеры более чем 350 избранных жертв в 40 странах мира. Главным инструментом атакующих была вредоносная программа NetTraveler, разработанная для скрытного наблюдения за компьютером.

Название 'NetTraveler' было обнаружено в одном из внутренних сообщений, встроенных в тело программы: 'NetTravelerisRunning!' ('NetTraveler активен!'). Эта вредоносная программа известна также как 'Travnet' или 'Netfile'. Она использовалась для базового наблюдения за жертвами. Наиболее ранние версии этой программы, которые нам удалось обнаружить, датируются 2005 годом, однако есть сведения, указывающие, что разработка велась, начиная с 2004 года. Большинство вредоносных файлов, которые нам удалось собрать, датируются 2010 - 2013 годами.

Иконка программы-конструктора NetTraveler

В ходе расследования деятельности группы Winnti нам удалось обнаружить достаточно много самплов Winnti, нацеленных на различные игровые компании. Используя эту сложную вредоносную программу, злоумышленники получали удаленный доступ к зараженным машинам, после чего действовали уже вручную.

Нам, конечно же, было важно узнать, каким образом вредоносная библиотека распространялась по локальной сети. Для этого мы последили за тем, что делают злоумышленники на зараженном компьютере.

Первая попытка: виртуальная машина 1

На раннем этапе исследования мы запускали вредоносные программы на виртуальной машине, и они нормально работали. Мы даже зафиксировали кое-какую активность со стороны злоумышленников. Но они быстро поняли, что это не тот компьютер, который они хотели бы поймать в свои сети, поэтому серверы злоумышленников перестали отвечать на запросы ботов с виртуальной машины.

Вот, что нам удалось узнать на этом этапе мониторинга.

Сначала, злоумышленники посмотрели, что происходит на рабочем столе жертвы. Потом, используя командную строку, атакующие вышли в корневой каталог текущего диска, просмотрели содержимое, поискали файл winmm.dll, уточнили версию операционной системы. После этого включился в работу плагин ListFileManager.dll, с помощью которого удобно просматривать содержимое каталогов, и анализу подверглись папки C:\Windows и C:\Work. Далее злоумышленники хотели перезагрузить компьютер (он должен был бы перезагрузиться через 1 секунду), но ошиблись в параметрах команды shutdown, введя 'shutdown /t /r 1'. Через некоторое время они уже в правильном формате вообще выключили компьютер командой 'shutdown /s /t 1'.

Эксперты компании FireEye обнаружили itw новый вариант бэкдора Sanny, замаскированный под doc-файл и предназначенный для использования в целевых кибератаках против русскоязычных пользователей.

Данный зловред, как и его предыдущая итерация, использует в качестве приманки все тот же русскоязычный документ АСЕАН и проникает в систему через ту же уязвимость CVE-2012-0158. Он по-прежнему направляет украденную у жертвы информацию в C&C хранилище, используя веб-форму корейской доски объявлений nboard.net, но использует при этом другой URL. По-видимому, оператор Sanny решил разнести свои пункты сбора награбленного по разным серверам, чтобы уменьшить возможные потери.

FireEye связалась с корейским агентством по информационной безопасности (Korea Information Security Agency, KISA) и с его помощью заблокировала оба C&C коллектора, используемых Sanny. В настоящее время при попытке обращения соответствующие адреса выдают ошибку.

20 марта в новостях появились многочисленные сообщения о нескольких кибератаках, нацеленных на различные жертвы в Южной Корее.

Группа преступников, именующая себя «Whois Team», оставила на атакованных сайтах некоторое количество сообщений:

В сотрудничестве с исследователями AlienVault Labs мы проанализировали серию целевых атак, которые были предприняты в последние несколько месяцев и нацелены на уйгуров –пользователей Mac OS X. Результаты исследования AlienVault Labs доступны здесь. Наш анализ представлен в данном блог посте.

Ранее мы писали о целевых атаках, направленных на тибетских активистов, в которых использовалось вредоносное ПО для Mac OS X. Кроме того, в июле прошлого года мы рассказывали об атаках с использованием зловредов под Mac OS X, направленных против уйгурских активистов. Во время этих последних атак с помощью социальной инженерии ничего не подозревающих пользователей заражали зловредом Backdoor.OSX.MaControl.b.

За последние месяцы мы зафиксировали серию целевых атак, направленных на уйгурских активистов, в первую очередь на Всемирный уйгурский конгресс.

В этих атаках использовалось несколько имён файлов, включая следующие:

Хотя некоторые из этих атак имели место в 2012 году, мы заметили значительное увеличение количества атак в январе-феврале 2013 г., что указывает на выросшую активность хакеров в этот период.

Все эти атаки используют эксплойты к уязвимостиCVE-2009-0563 в Microsoft Office. Данный эксплойт легко распознать благодаря обозначенному в свойствах автору следующего документа – это широко известный «captain», о котором мы уже писали:

После публикации нашего отчета коллеги из компании Seculert обнаружили еще один вектор доставки вредоносного кода, примененный в атаках Red October, и опубликовали в блоге сообщение о его использовании.

В дополнение к документам Office (CVE-2009-3129, CVE-2010-3333, CVE-2012-0158), злоумышленники, по-видимому, использовали для проникновения в сети жертв эксплойт для уязвимости (CVE-2011-3544) в Java (MD5: 35f1572eb7759cb7a66ca459c093e8a1 – «NewsFinder.jar»), известный под именем Rhino.

Сегодня мы публикуем первую часть отчета о нашем исследовании "Red October". В ближайшие дни будет опубликована и вторая часть, содержащая детальное техническое описание всех известных модулей Sputnik. Следите за новостями!

На протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа, во время которой собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций.

Несколько месяцев эксперты 'Лаборатории Касперского' анализировали вредоносные файлы, использованные в атаке, которая была нацелена на конкретные организации в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки.

Эта операция, которую мы назвали 'Red October' (в сокращении 'Rocra') продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.

Эксперты FireEye обнаружили вредоносный Word-документ, предназначенный для использования в целевых атаках против русскоязычных пользователей.

Данный doc-файл содержит дроппер, который устанавливает в систему многокомпонентного зловреда, ворующего персональные данные. Эксперты нарекли его Sanny, воспользовавшись именем одного из email-адресов, используемых в данной схеме атаки. Для отвода глаз воспроизводится легальный документ ― русскоязычный справочный материал о форуме АСЕАН по безопасности.

По свидетельству экспертов, Sanny собирает идентификаторы к учетным записям из MS Outlook, Internet Account Manager; пароли к онлайн-сервисам, сохраненные в Firefox, а также параметры локали, региона и другую информацию, определяющую профиль пользователя. Краденые данные затем отсылаются через HTTP POST на C&C сервер. Любопытная деталь: зловред при этом обращается к веб-форме, размещенной на легальной странице корейской доски объявлений. Поскольку этот ресурс не требует авторизации, весь перечень жертв Sanny хранится на сервере в открытом виде. Инициатор атаки регулярно изымает эту информацию ― примерно раз в 2 дня ― и стирает ее из базы. Если доска объявлений недоступна, зловред пытается связаться с почтовым сервером Yahoo, также размещенным в Южной Корее, и отослать краденые данные на какой-либо из заданных почтовых адресов. FireEye обнаружила 2 таких адреса, и один из логинов ― jbaksanny ― вдохновил экспертов при выборе имени для данного зловреда.

Как определила FireEye, список жертв Sanny включает, в основном, российских пользователей, в частности, Университет дружбы народов и ИТАР-ТАСС. Эксперты нашли в нем также несколько антивирусных компаний и специалистов по компьютерной безопасности, изучающих эту угрозу. Корейский C&C сервер пока активен. По последним данным, многие антивирусы списка Virus Total уже детектируют зловредного дроппера как Win32.Daws.

По данным Trend Micro, 91% целевых кибератак предшествует малотиражная спам-рассылка (эксперты называют такие письма spear-phishing email), как правило, вредоносная. Она использует элементы социальной инженерии и ориентирована на конкретное лицо или группу адресатов в атакуемой организации.

Такой зачин не теряет своей популярности у организаторов целевых атак, так как в тщательно подготовленную ловушку может угодить даже самый искушенный и осмотрительный пользователь. Ярким примером целевой атаки, начавшейся с узконаправленной спам-рассылки, является прошлогодний инцидент, обернувшийся кражей уникальной технологии RSA.

В мае 2012 года в ходе проведенного «Лабораторией Касперского» расследования было обнаружено новое вредоносное ПО, представляющее собой систему государственного кибершпионажа. Оно получило название «Flame». В процессе расследования нам удалось выявить некоторые отличительные черты модулей Flame. Основываясь на этих чертах, мы обнаружили, что в 2009 году в состав первого варианта червя Stuxnet входил модуль, созданный на платформе Flame. Это подтвердило, что группы, которые создавали платформы Flame и Tilded (Stuxnet/Duqu), каким-то образом взаимодействовали между собой.

Результатом углубленного исследования, проведенного в июне 2012 года, стало обнаружение еще одной неизвестной на тот момент вредоносной программы, созданной при государственной поддержке. Мы назвали ее «Gauss». Программа имела модульную структуру, аналогичную структуре Flame, похожую кодовую базу и систему взаимодействия с серверами управления (C&C). Имеется сходство с Flame и по множеству других параметров.

В партнерстве с Symantec, ITU-IMPACT и CERT-Bund/BSI мы также выполнили анализ командных серверов Flame и опубликовали его результаты. Анализ показал, что код понимает несколько протоколов, применяемых при обмене данными с различными «клиентами», или вредоносными программами:

• OldProtocol
• OldProtocolE
• SignupProtocol
• RedProtocol (упоминается, но не реализован)