Kaspersky Lab onthult ‘Operatie NetTraveler’, een wereldwijde cyberspionagecampagne gericht tegen ov

Door: Kaspersky Lab  04-06-2013
Trefwoorden: Malware, Computervirus, cyberspionage

  Kwaadwillende NetTraveler Toolkit besmet 350 belangrijke slachtoffers voor gegevensdiefstal en –spionage  

Utrecht, 4 juni 2013 – Vandaag heeft Kaspersky Lab’s team van deskundigen een nieuw onderzoeksrapport gepubliceerd over NetTraveler, een reeks kwaadwillende programma’s die cyberspionnen gebruiken om met succes meer dan 350 belangrijke slachtoffers in 40 landen schade te berokkenen. De NetTraveler-groep heeft slachtoffers in verschillende instellingen besmet, zowel in de overheids- als in de privésector, met inbegrip van overheidsinstellingen, ambassades, de olie- en gassector, onderzoekscentra, militaire bedrijven en activisten.  

Volgens het rapport van Kaspersky Lab is deze cyberspion al sinds 2004 actief. Het grootste activiteitvolume heeft echter betrekking op de periode van 2010 – 2013. De laatste tijd zijn de belangrijkste interessedomeinen van de NetTraveler-groep voor cyberspionageactiviteiten toegespitst op ruimteverkenning, nanotechnologie, energieproductie, kernenergie, lasers, geneeskunde en communicatie.  

Besmettingsmethoden
·            De aanvallers besmetten de slachtoffers door ingenieuze spear-phishing e-mails te versturen met kwaadwillende Microsoft Office-bijlagen die twee vaak benutte kwetsbaarheden (CVE-2012-0158 en CVE-2010-3333) bevatten. Hoewel Microsoft voor deze kwetsbaarheden al patches ter beschikking stelde, worden ze nog altijd algemeen gebruikt voor doelgerichte aanvallen en hebben ze bewezen effectief te zijn.  
·            De titels van de kwaadwillende bijlagen in de spear-phishing e-mails weerspiegelen de hardnekkige inspanningen die de NetTraveler-groep levert om zijn aanvallen te personaliseren om belangrijke doelwitten te besmetten. Enkele opvallende titels van kwaadwillige documenten:
-       Army Cyber Security Policy 2013.doc
-       Report - Asia Defense Spending Boom.doc
-       Activity Details.doc
-       His Holiness the Dalai Lama’s visit to Switzerland day 4
-       Freedom of Speech.doc  

Gegevensdiefstal & -ophaling
·            Tijdens de analyse van Kaspersky Lab ontving het team van experts besmettingslogboeken van verschillende C&C-servers (Command & Control) van NetTraveler. C&C-servers worden gebruikt om extra malware te installeren op besmette machines en gestolen gegevens op te halen. Volgens de berekeningen van de experts van Kaspersky Lab zou de hoeveelheid gestolen gegevens op de C&C-servers van NetTraveler goed zijn voor meer dan 22 gigabyte.  

Gegevens opgehaald van besmette machines omvatten doorgaans bestandssysteemlijsten, keyloggers en verschillende bestandstypes, waaronder PDF’s, Excel-rekenbladen, Word-documenten, etc. Bovendien kon de NetTraveler toolkit extra malware installeren om heimelijk gegevens te stelen, en kon de toolkit gepersonaliseerd worden om andere types van gevoelige informatie te stelen, zoals configuratiedetails voor een toepassing of CAD-bestanden.  

Wereldwijde besmettingsstatistieken
·          Uit Kaspersky Lab’s analyse van NetTraveler’s C&C-gegevens blijkt dat er in totaal 350 slachtoffers waren in 40 landen, o.a. de Verenigde Staten, Canada, het Verenigd Koninkrijk, Rusland, Chili, Marokko, Griekenland, België, Oostenrijk, Oekraïne, Litouwen, Wit-Rusland, Australië, Hongkong, Japan, China, Mongolië, Iran, Turkije, India, Pakistan, Zuid-Korea, Thailand, Qatar, Kazachstan en Jordanië.  
·          In combinatie met de C&C-gegevensanalyse gebruikten Kaspersky Lab’s experts het Kaspersky Security Network (KSN) om extra besmettingsstatistieken te identificeren. De top 10 van de landen met slachtoffers die werden opgespoord door KSN bestond uit Mongolië gevolgd door Rusland, India, Kazachstan, Kyrgyzstan, China, Tadzjikistan, Zuid-Korea, Spanje en Duitsland.  

Bijkomende conclusies
Tijdens Kaspersky Lab’s analyse van NetTraveler identificeerden de experts van het bedrijf zes slachtoffers die besmet werden door zowel NetTraveler als Red October, een andere cyberspionageactie die Kaspersky Lab in januari 2013 analyseerde. Hoewel er geen rechtstreeks verband werd gevonden tussen de NetTraveler-aanvallers en de Red October-spionnen, blijkt uit het feit dat specifieke slachtoffers door beide campagnes werden getroffen dat deze belangrijke slachtoffers het doelwit zijn van verschillende spionnen omdat hun informatie een kostbaar basisproduct is voor de aanvallers.  

Kijk op Securelist.com voor de volledige analyse van het onderzoek van Kaspersky Lab, inclusief IoC (Indicators of Compromise), verhelpingstechnieken en details van NetTraveler en zijn kwaadwillende componenten.     

De producten van Kaspersky Lab detecteren en neutraliseren de kwaadwillende programma’s en hun varianten die worden gebruikt door de NetTraveler Toolkit, inclusief Trojan-Spy.Win32.TravNet en Downloader.Win32.NetTraveler. De producten van Kaspersky Lab detecteren de Microsoft Office exploits die gebruikt worden bij spear-phishing aanvallen, inclusief Exploit.MSWord.CVE-2010-333 en Exploit.Win32.CVE-2012-0158.  

Over Kaspersky Lab
Kaspersky Lab is 's werelds grootste niet-beursgenoteerde leverancier van endpoint beveiligingsoplossingen. Het bedrijf behoort wereldwijd tot de top vier leveranciers van beveiligingsoplossingen voor eindgebruikers.* In de vijftien jaar van haar bestaan is Kaspersky Lab altijd een innovator geweest op het gebied van IT-beveiliging en biedt het effectieve digitale beveiligingsoplossingen voor consumenten, MKB-bedrijven en de enterprisemarkt. Het bedrijf is thans mondiaal actief in bijna 200 landen en gebieden en biedt wereldwijd bescherming aan ruim 300 miljoen gebruikers.  

* Het bedrijf stond als vierde genoteerd in de IDC rating Worldwide Endpoint Security Revenue by Vendor, 2010. Deze klassering werd gepubliceerd in het IDC-rapport "Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares (IDC #235930, juli 2012). Het rapport classificeerde softwareleveranciers op basis van inkomsten uit verkopen van endpoint beveiligingsoplossingen in 2011.  

© 2012 Kaspersky Lab. De informatie in dit document is onderhevig aan verandering zonder voorafgaande kennisgeving. De enige garanties voor producten van Kaspersky Lab en services is vastgelegd in de garantieverklaringen bij de betreffende producten en services. Niets in dit document kan worden opgevat als rechtgevend op extra garantie. Kaspersky Lab is niet aansprakelijk voor technische of redactionele fouten of weglatingen in deze publicatie.

Trefwoorden: Computervirus, cyberspionage, Kaspersky Lab, Kwaadaardige Programma’s, Malware,

Andere producten en diensten van Kaspersky Lab

30-07-2013

Eropuit met je ‘mobiele vrienden’

De juiste voorbereiding voor een dagje uit met het hele hightechgezin Utrecht, 30 juli 2013 – De kinderen hebben vakantie,


22-05-2013

Kaspersky PURE 3.0 Total Security levert ultieme beveiliging voor alles wat je bewaart & doet op pc

  Bekroonde technologie beschermt je identiteit, wachtwoorden, financiële en persoonlijke gegevens   Utrecht, 22 mei 2013 – Pc's zijn uitgegroeid tot


14-05-2013

Kritische gegevens steeds vaker opgeslagen op smartphones

  Onderzoek Kaspersky Lab onthult: Bijna een derde van het Nederlandse MKB denkt dat gegevensverlies via smartphones aanzienlijke schade zal


17-04-2013

Kaspersky Lab presenteert ’s werelds eerste antivirusoplossing voor UEFI

Nieuwe oplossing voorkomt de uitvoering van ‘stealth malware’ op computers met UEFI   Utrecht, 17 april 2013 – Kaspersky Lab


17-04-2013

60% Nederlandse IT-managers heeft geen goed beeld van opgeslagen bedrijfsgegevens op privé apparaten

  Volgens onderzoek door Kaspersky Lab hebben MKB-bedrijven bescherming van intellectueel eigendom niet op orde   Utrecht, 17 april 2013 –


11-04-2013

Kaspersky Lab analyseert actieve wereldwijde cyberspionage-campagne gericht op online gaming-bedrijf

  Cybercriminele organisatie ‘Winnti’ compromitteert systemen van gaming-bedrijven, steelt intellectueel eigendom en digitale certificaten voor malafide praktijken   Utrecht, 11 april


15-03-2013

Nederlandse werknemers gemakzuchtig met rapporteren kwijtgeraakte apparatuur

  Onderzoek Kaspersky Lab onthult: Bedrijven worden te laat geïnformeerd over mogelijk lekken van bedrijfsgegevens   Utrecht, 15 maart 2013 –


14-03-2013

Kaspersky Lab presenteert nieuwe zakelijke beveiligingsoplossing tijdens Infosecurity.be

  Gratis snelle security check voor bezoekers     Utrecht, 14 maart 2013 – Op 20 en 21 maart aanstaande demonstreert Kaspersky


27-02-2013

Kaspersky Lab identificeert 'MiniDuke', een nieuw kwaadaardig spionageprogramma gericht op overheids

  Ontwikkelaars combineren geavanceerde "old school" technieken met nieuwe, onlangs ontdekte exploits in Adobe Reader om geopolitieke gegevens te verzamelen


13-02-2013

Kaspersky Lab Experts identificeren en rapporteren nieuwste Zero-day beveiligingslek in Adobe Flash

  Utrecht, 13 februari 2013 – Experts van Kaspersky Lab hebben onlangs een belangrijk zero-day beveiligingslek ontdekt in Adobe Flash


05-02-2013

Cyberpesten voor veel jongeren groot probleem volgens onderzoek Europese Unie

Tips en technologie om er iets aan te doen Utrecht, 5 februari 2013 - Werden ruzies vroeger op het schoolplein


31-01-2013

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform om complexe en consumerized IT-systemen beter te helpen beveiligen Nieuwe editie voorzien


16-01-2013

Economische instabiliteit en cyberbedreigingen: de twee grootste gevaren voor bedrijven

  Utrecht, 16 januari 2013 – Bedrijven zien cyberbedreigingen als het op een na grootste gevaar na economische instabiliteit. Dit


14-01-2013

Kaspersky Lab identificeert Operatie "Red October", een geavanceerde cyberspionage-campagne

  Aanvallers creëerden unieke, zeer flexibele malware om geopolitieke inlichtingen te stelen van de computersystemen, mobiele telefoons en enterprise netwerkapparatuur