Luuraja, tule välja: Kaspersky Lab avastas uue küberluure võrgustiku NetTraveler

Kaspersky Lab teatas, et on avastanud uue küberluure võrgustiku: see sai nimeks NetTraveler ja hõlmas üle 350 arvutivõrgu 40 riigis. Rünnaku alla olid sattunud riiklikud ja erastruktuurid, sh valitsusasutused, saatkonnad, teadusuuringute keskused, sõjaväeorganisatsioonid, nafta- ja gaasiettevõtted ning poliitilised aktivistid. Venemaa kuulus rünnaku all enim kannatanud maade hulka: ta sai NetTraveleri märgatavaid tagajärgi kogenud riikide seas teise koha.

Kaspersky Labi ekspertide juurdluse tulemuste kohaselt oli see luurekampaania käivitunud juba 2004. aastal, kuid NetTraveleri tippaeg jäi 2010.–2013. aastasse. Ründajate huviringi kuulusid sellised valdkonnad nagu kosmoseuuringud, nanotehnoloogia, energeetika (ka tuumaenergeetika), meditsiin ja telekommunikatsioon.

Ohvri arvuti nakatus kahjurlinki sisaldava paroolipüügi kirja kaudu, mis kasutas Microsoft Office’i turvaauke (CVE-2012-0158 ja CVE-2010-3333). Hoolimata sellest, et Microsoft on juba välja lasknud uuendused turvaaukude lappimiseks, on need kirjad siiani laialt levinud ja neid kasutatakse sihtrünnakuks sageli. Manuste nimetused osutavad selgelt, milline on operatsiooni eesmärk: kurjategijad on kohandanud dokumendi nime iga postituse puhul selliselt, et kirja saaja tahaks faili avada.

Juurdluse käigus said Kaspersky Labi eksperdid ligipääsu mitme NetTraveleri juhtserveri logifailidele, mis kajastavad täiendava pahavara paigaldamist nakatatud arvutitesse ja varastatud andmete allalaadimist. Kaspersky Labi spetsialistide hinnangu järgi ületab NetTraveleri serverites hoiustatud varastatud andmete maht 22 gigabaiti. Nende andmete seas leidub kõige sagedamini süsteemifailide nimekirju, klahvivajutuste salvestamist ja mitmesuguseid dokumente (PDF, Excel, Word). Samuti on avastatud, et NetTraveleri instrumentide hulka kuulub tagaukseviirus, mis suudab varastada ka muud liiki konfidentsiaalset infot, näiteks manuste konfiguratsiooni kirjeldusi ja automatiseeritud projekteerimissüsteemi faile.

NetTraveleri rünnaku ohvreid leidub 40 riigis (sh Venemaa, Ameerika Ühendriigid, Kanada, Ühiskuningriik, Tšiili, Maroko, Kreeka, Belgia, Austria, Ukraina, Leedu, Valgevene, Austraalia, Jaapan, Hiina (ka Hongkongi autonoomne piirkond), Mongoolia, Iraan, Türgi, India, Pakistan, Lõuna-Korea, Tai, Katar, Kasahstan, Jordaania jpt).

NetTraveleri juhtserverite ja Kaspersky Security Networki pilveserveri andmete võrdlemisel tuvastasid Kaspersky Labi eksperdid kümme enim kannatada saanud riiki. Kahanevas järjekorras koostatud edetabel on järgmine: Mongoolia, Venemaa, India, Kasahstan, Kõrgõzstan, Hiina, Tadžikistan, Lõuna-Korea, Hispaania ja Saksamaa.

Lisaks kõigele muule avastasid Kaspersky Labi analüütikud, et kuus NetTraveleri ohvrit on varem kannatanud ka Punase Oktoobri küberluure kampaanias, millest Kaspersky Lab teavitas 2013. aasta jaanuaris. NetTraveleri ja Punase Oktoobri vahel ei ole küll otsest seost tuvastatud, kuid seik, et küberluurajate sihikul on ühed ja samad veebikasutajad, viitab sellele, et need isikud omavad kurjategijatele eriti väärtuslikke andmeid.

Ajavahemik eri küberluure võrgustike avamiste vahel jääb ühe lühemaks. Veelgi enam: detailsel uurimisel näeme, et varem või hiljem kampaaniad ristuvad: neil on kas sarnased ründevahendid või samad ohvrid, nagu oli NetTraveleri ja Punase Oktoobri korral. Kõik need asjaolud räägivad sellest, et küberluure muutub üha massilisemaks ja kogub tulevikus aina enam tuure.

Kaspersky Labi NetTraveleri uuringu täispikkuses aruannet saab lugeda aadressil http://www.securelist.com/en/blog/8105/NetTraveler_is_Running_Red_Star_APT_Attacks_Compromise_High_Profile_Victims.