LO SPIONAGGIO INDUSTRIALE PARTE DA OFFICE

Kaspersky Lab ha scoperto che il gruppo di spionaggio industriale NetTraveler è attivo da nove anni e ha colpito 350 vittime in 40 Paesi sfruttando due vulnerabilità di Office. Nel mirino istituzioni governative, ambasciate, l'industria petrolifera e del gas, centri di ricerca e settore militare.

Non tutte le azioni di criminalità informatica sono fatte per destare scalpore: molte, anzi, lavorano nell’ombra per anni prima di essere portate alla luce, oppure vengono scoperte dalle vittime dirette interessate, che però preferiscono non fare pubblicità al fattaccio. Tra le operazioni di sicuro “successo” c’è quella di NetTraveler, su cui Kaspersky Lab ha appena pubblicato uno studio: la minaccia sarebbe in circolazione già del 2004, anche se l’attività più intensa è stata rilevata tra il 2010 e il 2013, e avrebbe infettato più di 350 vittime in 40 Paesi

La mappa dell'operazione NetTraveller fatta da Kaspersky Lab

Vittime che Kaspersky definisce di “alto profilo”: aziende private e pubbliche, istituzioni governative, ambasciate, soggetti dell'industria petrolifera e del gas, centri di ricerca, imprese del settore militare e diversi attivisti. Nel passato più recente, i principali settori di interesse delle attività di spionaggio del gruppo NetTraveler sono stati l’esplorazione dello spazio, le nanotecnologie, la produzione di energia, il nucleare, i laser, la medicina e le comunicazioni

Infettati con la complicità involontaria di Microsoft Office: i criminali, infatti, riescono a entrare nei sistemi bersaglio tramite email di spear-phishing con allegati documenti Office infetti. Il tutto avviene sfruttando due vulnerabilità della suite (CVE-2012-0158 e CVE-2010-3333), per le quali l’azienda di Redmond ha rilasciato diverse patch ma senza mai riuscire a risolvere completamente il problema. Fra le “astuzie” escogitate dai cybercriminali c’è quella della scelta del nome dell’allegato, fatta in modo da attrarre, di volta in volta, la curiosità e l’interesse della specifica vittima. Qualche esempio di denominazioni: “Army Cyber Security Policy 2013.doc”, “Report - Asia Defense Spending Boom.doc”, “Activity Details.doc”, “His Holiness the Dalai Lama’s visit to Switzerland day 4”, “Freedom of Speech.doc”.

Gli attacchi sono serviti non solo a rubare dati, ma anche a trasferirli altrove, senza autorizzazione. Il team di esperti di Kaspersly Lab, infatti, ha ottenuto il registro delle infezioni tramite i server di “Comando e Controllo” di NetTraveler (C&C), scoprendo come questi siano stati usati per installare ulteriori malware sulle macchine già infette ed effettuare trasferimenti di dati non autorizzati. La quantità di dati rubati e archiviati su questi server di comando è superiore ai 22 gigabyte, e include  elenchi di tutti i contenuti presenti sul disco, i caratteri digitati dall’utente, file Word, Pdf, Excel e in altri formati. 

Si è scoperto, inoltre, che il toolkit NetTraveler installava una backdoor configurabile per sottrarre in un secondo momento ulteriori tipi di documenti, come i dettagli di configurazione di un’applicazione e/o file Cad. In concomitanza con l’analisi dei dati presenti sui server C&C, gli esperti di Kaspersky Lab hanno utilizzato il Kaspersky Security Network (Ksn) per identificare ulteriori infezioni. La top 10 dei paesi con il maggior numero di vittime secondo il Ksn vede in testa la Mongolia, seguita da Russia, India, Kazakhstan, Cina, Tajikistan, Corea del Sud, Spagna e Germania.