2014-ben ünneplik a “NetTraveler művelet” nevű globális kiberkémkedési kampány tízéves fennállását az akció mögött álló hackerek. Bár úgy tűnik, az első mintákat 2005-ben állították össze, egyes jelek arra mutatnak, hogy a rosszindulatú aktivitás már 2004-ben elindult. Tíz év alatt a NetTraveler több mint 350 ismert célpontot támadott 40 országban. Idén a Kaspersky Lab emelkedést tapasztalt az ujgurokat és a tibetieket támogatók ellen intézett támadások számában; az incidenseket az új titkosítási sémájú NetTraveler frissített változatával követték el. Vizsgálódásaik során a szakértők hét parancs és vezérlő (C&C) szervert fedeztek fel Hongkongban és egyet az Egyesült Államokban.
Újabban a kiberkémkedési aktivitás a diplomáciai képviseletek (32 százalék), a kormányzati intézmények (19 százalék), a magánszféra (11 százalék), a katonaság (9 százalék), az ipar és infrastruktúra (7 százalék), az űrkutatási szervezetek (6 százalék), a kutatóintézetek (4 százalék), az aktivisták (3 százalék), az IT szektor (3 százalék), az egészségügy (2 százalék) és a sajtó (1 százalék) ellen irányul. A NetTravel mögött álló hackercsoport a támadásokat hagyományosan a kiszemelt aktivistáknak küldött adathalász e-mailekkel indítja. A leveleknek két mellékletük van, egy ártalmatlan JPG fájl és egy Microsoft Word DOC fájl, amely tartalmazza a Microsoft Office CVE-2012-0158 jelű sérülékenységének kihasználásához szükséges kódot – ez a rosszindulatú fájl a Microsoft Office kínai nyelvű változatával készült.
Ha a Microsoft Office sebezhető változatával nyitják meg a fájlt, a kihasználó kód szabadjára engedi a Trojan-Spy vírust. A malware konfigurációs fájl új formátummal rendelkezik, amely kismértékben eltér a “régebbi” NetTraveler mintáktól. A NetTraveler fejlesztői nyilvánvalóan megpróbálták elrejteni a malware konfigurációját. A sikeres fertőzés után a NetTraveler elküldi üzemeltetőinek a gépen található DOC, XLS, PPT, RTF és PDF formátumú fájlokat. A szakértők nyolc parancs és vezérlő szervert azonosított. Ezek közül hetet a Shanghai Meicheng Technology nevű szervezet jegyeztetett be, és a hozzájuk tartozó IP címek hongkongiak (Trillion Company, Hongkong Dingfengxinhui Bgp Datacenter, Sun Network Limited és Hung Tai International Holdings). Egy szervert az egyesült államokbeli IP címmel (Integen Inc.) rendelkező Todaynic.com Inc. jegyeztetett be.
Így védekezhetünk a frissített NetTraveler malware ellen:
- blokkoljuk a fentebb említett gazdagépeket a tűzfalunkkal
- frissítsük a Microsoft Windows-t és a Microsoft Office-t a legújabb változatra
- tartózkodjunk az ismeretlenektől származó levélmellékletek és hivatkozások megnyitásától
- használjunk biztonságos böngészőt, például a Google Chrome-ot, amely gyorsabb fejlesztési és javítási ciklussal rendelkezik.