Forskere afdækker en ny global cyberspionageoperation kaldet Safe

Sikkerhedsforskere fra Trend Micro har afdækket en aktiv cyberspionage-operation, der hidtil har kompromitteret computere tilhørende statsministerier, teknologivirksomheder, medier, akademiske forskningsinstitutioner og ikke-statslige organisationer fra mere end 100 lande.

Operationen, som Trend Micro har kaldt Safe, retter sig mod potentielle ofre, der bruger spydsfishing-e-mails med ondsindede vedhæftede filer. Virksomhedens forskere har undersøgt operationen og offentliggjort et forskningspapir med deres resultater fredag.

To taktikker spottet

Undersøgelsen afdækkede to sæt kommando- og kontrol-servere (C & C), der anvendes til det, der synes at være to separate Safe angrebskampagner, der har forskellige mål, men brug samme malware.

[Yderligere læsning: Sådan fjerner du skadelig software fra din Windows-pc]

En kampagne bruger spydsfishing-e-mails med indhold relateret til Tibet og Mongoliet. Disse e-mails indeholder.doc-vedhæftede filer, der udnytter en Microsoft Word-sårbarhed patched af Microsoft i april 2012.

Adgangsloger hentet fra denne kampagnes C & C-servere afslørede i alt 243 unikke IP-adresser (IP-adresser) fra 11 forskellige lande. Forskerne fandt dog kun tre ofre, der stadig var aktive på tidspunktet for deres undersøgelse, med IP-adresser fra Mongoliet og Sydsudan.

C & C-serverne svarende til den anden angrebskampagne loggede 11.563 unikke offer IP-adresser fra 116 forskellige lande, men det faktiske antal ofre er sandsynligvis meget lavere, siger forskerne. I gennemsnit var 71 ofre aktivt kommunikeret med dette sæt C & C-servere på et hvilket som helst tidspunkt under undersøgelsen, sagde de.

De angrebsmails, der blev brugt i den anden angrebskampagne, er ikke blevet identificeret, men kampagnen ser ud til at være større i omfang og ofrene mere spredt geografisk. De fem øverste lande ved hjælp af offerets IP-adresseantal er Indien, USA, Kina, Pakistan, Filippinerne og Rusland.

Malware på en mission

Malware installeret på de inficerede computere er primært designet til at stjæle oplysninger, men dets funktionalitet kan forbedres med ekstra moduler. Forskerne fandt special-purpose plug-in komponenter på kommando og kontrol servere, samt off-the-shelf programmer, der kan bruges til at udtrække gemte adgangskoder fra Internet Explorer og Mozilla Firefox samt Remote Desktop Protocol legitimationsoplysninger gemt i Windows.

"Selvom bestemmelsen af ​​angrebene og identiteten af ​​angriberne ofte er svært at fastslå, fastslog vi, at den sikre kampagne er målrettet og bruger malware udviklet af en professionel softwareingeniør, der kan være forbundet med cybercriminal underjordiske i Kina" Trend Micro forskerne sagde i deres papir. "Denne person studerede på et fremtrædende teknisk universitet i samme land og ser ud til at have adgang til et internet serviceselskabs kildekodelager."

Operatørerne af C & C-serverne har fået adgang til dem fra IP-adresser i flere lande, men oftest fra Kina og Hong Kong, sagde Trend Micro forskerne. "Vi så også brugen af ​​VPN'er og proxy-værktøjer, herunder Tor, som bidrager til den geografiske mangfoldighed af operatørernes IP-adresser."

Artikel opdateret kl. 9:36 PT for at afspejle, at Trend Micro har ændret navnet på den cyberspionage operation, der var genstand for historien, og linket til sin forskningsrapport.