Datendiebstahl und Überwachung: NetTraveler-Toolkit infizierte 350 hochrangige Opfer weltweit

Cyberspionage-Kampagne gegen regierungsnahe Organisationen und Forschungsinstitute

[datensicherheit.de, 04.06.2013] Kaspersky Lab veröffentlicht Analyseergebnisse einer neuerlichen Cyberspionage-Kampagne [1]. Dabei wurde die Schadprogrammfamilie NetTraveler für APT-Attacken (Advanced Persistent Threat) [2] genutzt. Insgesamt wurden 350 hochrangige Opfer aus 40 Ländern kompromittiert. Die NetTravler-Gruppe infizierte Opfer aus verschiedenen Einrichtungen des privaten und öffentlichen Bereichs, unter anderem Regierungsinstitutionen, Botschaften, die Öl- und Gasindustrie, Forschungseinrichtungen, die Rüstungsindustrie sowie Aktivisten.

Aus dem Report von Kaspersky Lab geht hervor, dass die Angreifer bereits seit 2004 aktiv sind. Der Höhepunkt der Cyberspionage-Kampagne war zwischen 2010 und 2013.

Bild: Kasperky Lab

NetTraveler-Toolkit: Karte der Opfer

Die NetTraveler-Gruppe hat es in jüngster Zeit vor allem auf Informationen aus den Bereichen der Weltraumforschung, Nanotechnologie, Energieproduktion, Nuklearenergie, Lasertechnologie, Medizin und Kommunikation abgesehen.

Infizierungsmethode: ausgeklügeltes Spear-Phishing

Die Angreifer infizierten ihre Opfer, indem sie ausgeklügelte Spear-Pishing-Mails [3] versandten. Die E-Mails enthielten schädliche Microsoft-Office-Dokumente, die mit zwei sehr komplexen Schwachstellen-Exploits (CVE-2012-0158 und CVE-2010-3333) [4] ausgestattet waren. Auch wenn Microsoft bereits Patches für diese Schwachstellen veröffentlicht hat, werden diese nach wie vor für zielgerichtete Attacken missbraucht und haben sich als sehr wirksam erwiesen.

Die Dateibezeichnungen der schädlichen Anhänge, die bei der Spear-Phishing-Attacke benutzt wurden, veranschaulichen, dass die NetTraveler-Gruppe keine Mühen gescheut hat, um hochrangige Zielobjekte zu infizieren. Die bemerkenswertesten Dateibezeichnungen waren: „Army Cyber Security Policy 2013.doc“, „Report – Asia Defense Spending Boom.doc“, „Activity Details.doc“, „His Holiness the Dalai Lama´s visit to Switzerland day 4” und “Freedom of Speech.doc”.

Volumen der gestohlenen Daten

Die Kaspersky-Experten analysierten verschiedene Comand-and-Control-Server (C&C), die von der NetTraveler-Gruppe genutzt wurden, um zusätzliche Malware auf die infizierten Maschinen zu installieren und gestohlene Daten heraus zu filtern. Kaspersky Lab geht davon aus, dass das auf den C&C-Servern von NetTraveler liegende gestohlene Datenvolumen mehr als 22 Gigabyte beträgt.

Die von den infizierten Maschinen gefilterten Daten beinhalteten typischerweise Dateisystemprotokolle, Keylogger-Informationen und verschiedene Dokumente, unter anderem PDFs, Excel- und Word-Dateien. Zudem war das NetTraveler-Toolkit in der Lage, zusätzliche Informationen stehlende Spionage-Malware, darunter Backdoor-Programme, zu installieren. Darüber hinaus konnte das Programm so angepasst werden, dass weitere kritische Informationen wie Konfigurationsdetails für Applikationen oder CAD-Dateien gestohlen werden konnten.

Globale Infizierungsstatistiken: auch Opfer in Deutschland und Österreich

Auf Basis der Kaspersky-Analysen der C&C-Daten von NetTraveler wurden insgesamt 350 Opfer in 40 Ländern weltweit infiziert [5], unter anderem in Deutschland, Österreich, den USA, Kanada, Großbritannien, Russland, Chile, Marokko, Griechenland, Belgien, der Ukraine, Litauen, Weißrussland, Australien, Hongkong, Japan, China, der Mongolei, Iran, Türkei, Indien, Pakistan, Südkorea, Thailand, Katar, Kasachstan und Jordanien.

Kaspersky Lab hat auf Grundlage der C&C-Server-Daten auch das Kaspersky Security Network (KSN) zu Rate gezogen [5], um zusätzliche lokale Infizierungsstatistiken zu erhalten. Dabei taucht Deutschland in der Top-Ten der vom KSN entdeckten Opfer auf. Die Rangliste setzt sich wie folgt zusammen: Mongolei, Russland, Indien, Kasachstan, Kirgisistan, China, Tadschikistan, Südkorea, Spanien und Deutschland.

Weitere Erkenntnisse: Einige Opfer auch von Roter Oktober betroffen

Die Kaspersky-Experten identifizierten sechs Opfer, die sowohl von NetTraveler als auch von Roter Oktober infiziert wurden. Die Cyberspionage-Kampagne Roter Oktober wurde im Januar dieses Jahres von Kaspersky Lab aufgedeckt [6]. Obwohl keine direkte Verbindung zwischen den NetTraveler-Angreifern und den Hintermännern von Roter Oktober festzustellen ist, deutet der Fakt, dass bestimmte Opfer von beiden Cyberspionagekampagnen betroffen waren, auf Folgendes hin: Die hochrangigen Opfer wurden von verschiedenen Akteuren ins Visier genommen, weil ihre Informationen für die Angreifer wohl als sehr wertvoll erschienen.

Die Kaspersky-Produkte entdecken und neutralisieren die von NetTraveler-Toolkit genutzten schädlichen Programme und deren Varianten inklusive der Versionen „Trojan-Spy.Win32.TravNet“ und „Downloader.Win32.NetTraveler“. Zudem erkennen die Kaspersky-Lösungen die bei der Spear-Phishing in Word-Office verwendeten Exploits als „Exploit.MSWord.CVE-2010-333“ und „Exploit.Win32.CVE-2012-0158“.

Weitere Informationen zum Thema:

securelist.com, 04.06.2013
„NetTraveler is Running!“ – Red Star APT Attacks Compromise High-Profile Victims

[1] http://www.securelist.com/en/blog/8105/NetTraveler_is_Running_Red_Star_APT_Attacks_Compromise_High_Profile_Victims
[2] http://de.wikipedia.org/wiki/Advanced_Persistent_Threat
[3] http://de.wikipedia.org/wiki/Spear_Phishing
[4] http://technet.microsoft.com/en-us/security/bulletin/ms12-027 und http://technet.microsoft.com/en-us/security/bulletin/MS10-087
[5] Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt.
[6] http://newsroom.kaspersky.eu/de/texte/detail/article/operation-roter-oktober-cyberspionage-angriff-auf-regierungsorganisationen-und-diplomatische/?no_cache=1