Över hundra länder har drabbats av cyberspionage som upptäckts av säkerhetsföretaget Trend Micro, berättar IDG News. Bland de angripna finns myndigheter, it-företag, mediaföretag, akademiska forskningsinstitutioner och ideella organisationer.

Safe, som är det namn som Trend Micro har gett spionageangreppet, angriper potentiella offer med målinriktat nätfiske, så kallad ”spear phishing”. Utvalda mottagare får e-post med skadliga bilagor, som avsändaren hoppas att de öppnar. Trend Micros experter har undersökt verksamheten och skrivit en rapport med sina rön.

Undersökningen visar att det finns två uppsättningar ledningsservrar (command and control servers) som verkar användas i två olika angrepp. Angreppen har olika mål, men använder samma skadliga program.

Den ena kampanjen skickar e-post med innehåll som handlar om Tibet och Mongoliet. Den e-posten har bilagor i doc-format som utnyttjar en sårbarhet i Microsoft Word. Den sårbarheten åtgärdades av Microsoft i april 2012.

Loggar som hämtats från en av kampanjens ledningsservrar visar att det finns sammanlagt 243 unika ip-adresser till offer i elva olika länder. Men undersökarna hittade bara tre offer som fortfarande var aktiva när undersökningen gjordes. De hade ip-adresser från Mongoliet och Sudan.

Ledningsservrarna i den andra kampenjen loggade 11 562 unika ip-adresser från offer i 116 länder. Men i praktiken är antalet drabbade troligen mycket lägre, enligt undersökarna. Bara 71 offer var i genomsnitt aktivt i förbindelse med dessa ledningsservrar vid varje given tidpunkt under undersökningens gång, uppger undersökarna.
Innehållet i den e-post som användes i den andra kampanjen är inte känt, men kampanjen verkar ha större omfattning och offren vara mer spridda över världen. Mest angripna, om man ser till offrens ip-adresser, är Indien, USA, Kina, Pakistan, Filippinerna och Ryssland.

De skadliga programmen som installerats i smyg på de infekterade datorerna är i första hand utformade för att stjäla information. Men de kan få fler funktioner med tilläggsmoduler. Undersökarna hittade tilläggsfunktioner på ledningsservrarna. De fann också standardprogram som kan användas för att hämta in sparade lösenord från Internet Explorer och Mozilla Firefox. De hittade också lösenord och användarnamn för fjärrinloggning, sparade i Windows.

”Även om det ofta fortfarande kan vara svårt att fastställa angriparnas identitet och syften kunde vi fastställa att Safe-kampanjen är målinriktad och att den använder skadliga program som utvecklats av en professionell programutvecklare som kan ha hoppling till underjordisk cyberkriminalitet i Kina”, skriver Trend Micros undersökare.

”Den personen har studerat vid ett framstående tekniskt universitet i det landet och tycks ha tillgång till ett internettjänsteföretags förråd av källkod.”

De som hanterade ledningsservrarna nådde dem från ip-adresser i flera länder, men mest ofta från Kina och Kongkong, uppger Trend Micros undersökare:
”Vi noterade också användning av virtuella privata nätverk och proxyverktyg, bland annat Tor, vilket bidrog till den geografiska spridningen av angriparnas ip-adresser."

Fakta

http://cswe.se/trendmicrosafe