I ricercatori scoprono una nuova operazione di cyberpionage globale soprannominata Safe

I ricercatori di sicurezza di Trend Micro hanno scoperto un'operazione di cyberpionage attiva che finora ha compromesso computer appartenenti a ministeri, aziende tecnologiche, media, accademici istituti di ricerca e organizzazioni non governative di oltre 100 paesi.

L'operazione, che Trend Micro ha soprannominato Safe, indirizza le potenziali vittime tramite e-mail di spear phishing con allegati malevoli. I ricercatori dell'azienda hanno studiato l'operazione e pubblicato un documento di ricerca con le loro scoperte venerdì.

Due tattiche individuate

L'indagine ha scoperto due set di server command-and-control (C & C) utilizzati per quelli che sembrano essere separati campagne di attacco con obiettivi diversi, ma utilizzare lo stesso malware.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Una campagna utilizza email di spear phishing con contenuti correlati a Tibet e Mongolia. Queste e-mail hanno allegati.doc che sfruttano una vulnerabilità di Microsoft Word patchata da Microsoft nell'aprile 2012.

I registri di accesso raccolti dai server C & C di questa campagna hanno rivelato un totale di 243 indirizzi IP (Internet Protocol) vittimici unici provenienti da 11 paesi diversi. Tuttavia, i ricercatori hanno trovato solo tre vittime che erano ancora attive al momento delle indagini, con indirizzi IP da Mongolia e Sud Sudan.

I server C & C corrispondenti alla seconda campagna di attacco hanno registrato 11.563 indirizzi IP vittima unici da 116 paesi diversi, ma il numero effettivo di vittime sarà probabilmente molto più basso, hanno detto i ricercatori. In media, 71 vittime stavano attivamente comunicando con questo insieme di server C & C in qualsiasi momento durante l'indagine, hanno detto.

Le e-mail di attacco utilizzate nella seconda campagna di attacco non sono state identificate, ma la campagna sembra essere più grande in portata e le vittime maggiormente disperse geograficamente. I primi cinque Paesi per numero di indirizzi IP delle vittime sono India, Stati Uniti, Cina, Pakistan, Filippine e Russia.

Malware in una missione

Il malware installato sui computer infetti è progettato principalmente per rubare informazioni, ma la sua funzionalità può essere migliorata con moduli aggiuntivi. I ricercatori hanno trovato componenti plug-in per scopi speciali sui server di comando e controllo, oltre a programmi disponibili che possono essere utilizzati per estrarre le password salvate da Internet Explorer e Mozilla Firefox, nonché le credenziali del protocollo Desktop remoto archiviate in Windows.

"Mentre determinare l'intento e l'identità degli aggressori rimane spesso difficile da accertare, abbiamo determinato che la campagna sicura è mirata e utilizza malware sviluppato da un ingegnere del software professionale che potrebbe essere collegato al cibercriminale sotterraneo in Cina" i ricercatori di Trend Micro hanno detto nel loro articolo. "Questo individuo ha studiato presso un'università tecnica di primo piano nello stesso paese e sembra avere accesso al repository di codice sorgente di una società di servizi Internet."

Gli operatori dei server C & C li hanno acceduti da indirizzi IP in diversi paesi, ma più spesso da Cina e Hong Kong, hanno detto i ricercatori di Trend Micro. "Abbiamo anche visto l'utilizzo di VPN e strumenti proxy, tra cui Tor, che ha contribuito alla diversità geografica degli indirizzi IP degli operatori."

Articolo aggiornato alle 9:36 am PT per riflettere che Trend Micro ha cambiato il nome di l'operazione di cyberpionage che è stata l'oggetto della storia e il link al suo rapporto di ricerca