Probíhající kybernetická špionážní akce nazvaná Bezpečná, zaměřená na různé organizace ve více než 100 zemích pomocí kopí e-mailů s phishingem, zjistili vědci Trend Micro.
Zdá se, že operace směřovala do vládních agentur, technologických firem, médií, akademických výzkumných institucí a nevládních organizací. Kylie Wilhoit a Nart Villeneuve, dva výzkumníci hrozeb Trend Micro, napsali na blogu Security Intelligence Blog. Společnost Trend Micro věří, že tímto softwarem bylo infikováno více než 12 000 jedinečných IP adres rozložených ve 120 zemích. V průměru však každý den aktivně komunikovalo se servery C&C pouze 71 IP adres.
"Skutečný počet obětí je mnohem menší než počet jedinečných IP adres, " řekl Trend Micro ve svém dopise, ale odmítl spekulovat o skutečné hodnotě.
Bezpečné spoléhání na Spear Phishing
Safe se skládá ze dvou odlišných phishingových kampaní oštěpu využívajících stejný kmen malwaru, ale pomocí různých infrastruktur velení a řízení, vědci psali v bílé knize. E-mailové zprávy o phishingu v rámci jedné kampaně obsahovaly řádky týkající se Tibetu nebo Mongolska. Vědci dosud neidentifikovali společné téma v předmětech použitých pro druhou kampaň, která si vyžádala oběti v Indii, USA, Pákistánu, Číně, na Filipínách, v Rusku a Brazílii.
Bezpečný odeslal e-maily s kopií phishingu obětem a podváděl je, aby podle Trend Micro otevřeli škodlivou přílohu, která zneužila již opravenou chybu zabezpečení sady Microsoft Office. Vědci našli několik škodlivých dokumentů aplikace Word, které, když byly otevřeny, tiše nainstalovali užitečné zatížení do počítače oběti. Chyba zabezpečení týkající se vzdáleného spuštění kódu ve společných ovládacích prvcích systému Windows byla opravena v dubnu 2012.
Podrobnosti o infrastruktuře C&C
V první kampani byly k serveru C&C připojeny počítače z 243 jedinečných IP adres v 11 různých zemích. Ve druhé kampani komunikovaly se serverem C&C počítače od 11 563 IP adres ze 116 různých zemí. Indie se zdála být nejvíce cílená, s více než 4000 infikovanými IP adresami.
Jeden ze serverů C&C byl nastaven tak, aby si kdokoli mohl prohlížet obsah adresářů. Výsledkem bylo, že výzkumní pracovníci Trend Micro dokázali zjistit, kdo jsou oběti, a také stahovat soubory obsahující zdrojový kód za serverem C&C a malwarem. Když se podíváme na kód serveru C&C, zdá se, že provozovatelé vrátili legitimní zdrojový kód od poskytovatele internetových služeb v Číně, uvedl Trend Micro.
Útočníci se připojovali k serveru C&C přes VPN a používali síť Tor, takže bylo obtížné sledovat, kde jsou útočníci založeni. "Geografická rozmanitost proxy serverů a VPN ztěžovala určení jejich skutečného původu, " řekl Trend Micro.
Útočníci mohli použít čínský malware
Na základě některých vodítek ve zdrojovém kódu Trend Micro uvedl, že je možné, že malware byl vyvinut v Číně. V tuto chvíli není známo, zda bezpeční operátoři malware vyvinuli nebo ho zakoupili od někoho jiného.
„I když je určování záměru a identity útočníků stále obtížné, usoudili jsme, že tato kampaň je cílená a používá malware vyvinutý profesionálním softwarovým inženýrem, který může být napojen na kybernetické podzemí v Číně, “ uvedli vědci na blogu.
