L'équipe d¹experts de Kaspersky Lab a publié aujourd¹hui un nouveau rapport de recherche à propos de NetTraveler, un ensemble de programmes malveillants utilisés par les auteurs de menaces avancées persistantes (APT) pour réussir à compromettre plus de 350 victimes de prestige dans 40 pays. Le groupe NetTraveler a infecté des victimes dans de nombreuses organisations, tant du secteur public que privé, en ce compris des institutions gouvernementales, des ambassades, l¹industrie pétrolière et gazière, des centres de recherche, des sous-traitants militaires et des activistes.

 

Selon le rapport de Kaspersky Lab, cet auteur de menaces est déjà actif depuis 2004; néanmoins, le volume d¹activité le plus élevé a été enregistré depuis 2010 ­ 2013. Plus récemment, les principaux domaines d¹intérêt du groupe NetTraveler en matière d'activités de cyber-espionnage incluent l¹exploration spatiale, les nanotechnologies, la production d¹énergie, les centrales nucléaires, les lasers, la médecine et les communications.

 

Modes d'infection

·         Des cybercriminels ont infecté des victimes en envoyant d¹astucieux e-mails de phishing ciblé  accompagnés de pièces jointes Microsoft Office malveillantes contenant deux vulnérabilités largement exploitées (CVE-2012-0158 et CVE-2010-3333). Bien que Microsoft ait déjà publié des correctifs pour ces vulnérabilités, elles sont encore largement utilisées pour l¹exploitation dans des attaques ciblées et ont démontré leur efficacité.

 

·         Les titres des pièces jointes malveillantes accompagnant les e-mails de phishing ciblé illustrent les efforts constants du groupe NetTraveler pour personnaliser ses attaques afin d¹infecter des cibles de prestige. Voici quelques exemples de titres de documents malveillants:

-      Army Cyber Security Policy 2013.doc (politique 2013 de cyber-sécurité de l¹armée)

-      Report - Asia Defense Spending Boom.doc (Rapport sur le boom des dépenses en matière de défense de l¹Asie)

-      Activity Details.doc (Détails d¹activité)

-      His Holiness the Dalai Lama¹s visit to Switzerland day 4 (Visite en Suisse de sa Sainteté le dalaï-lama 4ème jour)

-      Freedom of Speech.doc (Liberté d¹expression)

 

Vol et exfiltration de données

·       Durant l'analyse, l¹équipe d¹experts de Kaspersky Lab a obtenu des fichiers journaux d¹infection de plusieurs serveurs de commande et de contrôle (C&C) de NetTraveler. Les serveurs C&C sont utilisés pour installer des maliciels supplémentaires sur des machines infectées et exfiltrer les données dérobées. Les experts de Kaspersky Lab ont évalué la quantité des données volées stockées sur les serveurs C&C de NetTraveler à plus de 22 gigaoctets.

 

·       Les données exfiltrées de machines infectées comportent généralement des listes de fichiers système, des enregistrements de frappes et différents types de fichiers comme des PDF, des feuilles de calcul Excel, des documents Word et autres fichiers. De plus, le Toolkit NetTraveler a été en mesure d¹installer des maliciels supplémentaires de vol d¹informations sous la forme de « backdoor », et ceux-ci pourraient être personnalisés pour dérober d¹autres types d¹informations sensibles comme  des détails de configuration pour une application ou des fichiers de conception assistée par ordinateur.

 

Statistiques d'infection mondiales

·       L'analyse par Kaspersky Lab des données C&C de NetTraveler a révélé qu¹il y a eu en tout 350 victimes dans 40 pays à travers le monde, notamment les Etats-Unis, le Canada, le Royaume-Uni, la Russie, le Chili, le Maroc, la Grèce, la Belgique, l¹Autriche, l¹Ukraine, la Lituanie, le Belarus, l¹Australie, Hong Kong, le Japon, la Chine, la Mongolie, l¹Iran, la Turquie, l¹Inde, le Pakistan, la Corée du Sud, la Thaïlande, le Qatar, le Kazakhstan et la Jordanie.

 

·       Conjointement à l¹analyse des données C&C, les experts de Kaspersky Lab ont utilisé le Kaspersky Security Network (KSN) afin d¹identifier des statistiques d¹infection supplémentaires. Les dix principaux pays dans lesquels des victimes ont été détectées par le KSN sont la Mongolie, suivie par la Russie, l¹Inde, le Kazakhstan, le Kirghizstan, la Chine, le Tadjikistan, la Corée du Sud, l¹Espagne et l¹Allemagne.

 

 

Autres conclusions

·       Au cours de l¹analyse de NetTraveler par Kaspersky Lab, les experts de l¹entreprise ont identifié six victimes qui avaient été infectées tant par NetTraveler que Red October, une autre opération de cyber-espionnage analysée par Kaspersky Lab en janvier 2013. Bien qu¹aucun lien direct n¹ait été observé entre les cybercriminels de NetTraveler et ceux de Red October, le fait que des victimes spécifiques aient été infectées par ces deux campagnes indique que ces victimes de haut niveau sont visées par de multiples cybercriminels parce que leurs informations sont précieuses aux yeux des pirates.