Menu

Повернення NetTraveler - нова хвиля кібершпіонажу

Експерти «Лабораторії Касперського» повідомляють про нової хвилі кампанії кібершпіонажу NetTraveler (також відомої, як Travnet, Netfile або Red Star APT), що вразила раніше сотні державних і приватних організацій у більш ніж 40 країнах світу. Серед виявлених цілей операції NetTraveler були урядові установи, посольства, політичні активісти, військові організації, нафтогазові компанії, науково-дослідні центри та університети.

Возвращение NetTraveler – новая волна кибершпионажа

Відразу ж після розголосу «Лабораторією Касперського» в червні 2013 року дій групи, що стоїть за NetTraveler, зловмисники відключили свої командні центри і перенесли їх на нові сервери в Китаї, Гонконгу та Тайвані. При цьому, як показав аналіз поточної ситуації, кіберзлочинці продовжили безперешкодно здійснювати атаки.

Протягом останніх декількох днів були зафіксовані цільові фішингові розсилки уйгурским активістам. Використана зловмисниками Java-уразливість виявилася більш ефективною для зараження комп'ютерів жертв, так як була закрита Oracle лише в червні цього року, а значить, все ще широко поширена серед користувачів. Попередня серія атак здійснювалася через уразливості Microsoft Office (CVE-2012-0158), «заплатки» для яких були випущені компанією Microsoft ще в квітні.

На додаток до фішинговим розсилок, група зловмисників тепер також застосовує техніку «Watering Hole», яка полягає у веб-перенаправлениях і примусової завантаження файлів зі спеціально підготовлених доменів, заражаючи тим самим відвідувачів веб-сайтів. За минулий місяць фахівці «Лабораторії Касперського» перехопили і заблокували ряд таких спроб зараження з боку домену ‘wetstock[dot]org’, який вже був пов'язаний з кампанією NetTravaler раніше. Перенаправлення відбувалися з різних уйгурських сайтів, які були попередньо зламані і заражені атакуючими.

Експерти «Лабораторії Касперського» вважають, що зловмисники можуть використовувати й інші засоби для досягнення своїх цілей, тому виробили ряд рекомендацій, як убезпечити себе від подібних атак:

  • Оновіть Java до самої актуальної версії. Якщо ви не користуйтеся Java, деинсталлируйте це додаток;
  • Встановіть найсвіжіші оновлення Microsoft Windows і Microsoft Office;
  • Оновіть все стороннє програмне забезпечення, наприклад Adobe Reader;
  • Використовуйте безпечний інтернет-браузер, наприклад Google Chrome, цикл розробки і оновлення якого швидше, ніж у штатного Windows-Internet Explorer;
  • Не поспішайте переходити по посиланнях і відкривати вкладення в листах від невідомих осіб.
|