Vídeo: Jonas Brothers - SOS Music Video - Official (HQ) (Setembre 2024)
Els investigadors de Trend Micro han trobat una operació de ciber-espionatge, denominada Segura, dirigida a diverses organitzacions de més de 100 països amb correus electrònics de pesca de llança.
L'operació sembla que ha dirigit a agències governamentals, empreses tecnològiques, mitjans de comunicació, institucions de recerca acadèmica i organitzacions no governamentals, Kylie Wilhoit i Nart Villeneuve, dues investigadores de l'amenaça de Trend Micro, van escriure al Blog Intelligence Security. Trend Micro creu que més de 12.000 adreces IP exclusives repartides en 120 països més o menys estaven infectats pel programari maliciós. Tot i això, només 71 adreces IP, de mitjana, es comuniquen diàriament activament amb els servidors de C&C.
"El nombre real de víctimes és molt inferior al nombre d'adreces IP úniques", va dir Trend Micro al seu llibre blanc, però va negar a especular sobre una xifra real.
Es basa en la seguretat contra la pesca
Safe consta de dues campanyes de phishing de llança diferents que utilitzen la mateixa tipologia de programari maliciós, però que utilitzen diferents infraestructures de comandament i control, van escriure els investigadors al llibre blanc. Els correus electrònics de pesca d'una llança d'una campanya tenien línies de temes referides al Tibet o a Mongòlia. Els investigadors encara no han identificat un tema comú en les línies de temes utilitzats per a la segona campanya, que ha reivindicat víctimes a l'Índia, els Estats Units, el Pakistan, la Xina, les Filipines, Rússia i el Brasil.
Segons Trend Micro, els correus electrònics segurs van enviar correus electrònics de phishing a les víctimes i els van enganyar a obrir un fitxer adjunt maliciós que explotava una vulnerabilitat de Microsoft Office. Els investigadors van trobar diversos documents Word maliciosos que, en obrir-los, van instal·lar en silenci una càrrega útil a l’ordinador de la víctima. La vulnerabilitat d'execució de codi remota de Windows Common Controls es va aplicar a l'abril de 2012.
Detalls de la infraestructura de C&C
A la primera campanya, ordinadors de 243 adreces IP úniques en 11 països diferents connectats al servidor C&C. A la segona campanya, els ordinadors d’11.563 adreces IP de 116 països diferents es van comunicar amb el servidor C&C. L’Índia semblava ser la més objectiva, amb més de 4.000 adreces IP infectades.
Es va configurar un dels servidors C&C de manera que qualsevol pogués veure el contingut dels directoris. Com a resultat, els investigadors de Trend Micro van poder determinar qui eren les víctimes i també descarregar fitxers que contenien el codi font del servidor C&C i del malware. Tenint en compte el codi del servidor C&C, sembla que els operadors reprenen el codi font legítim d'un proveïdor de serveis d'Internet a la Xina, va dir Trend Micro.
Els atacants es connectaven al servidor C&C a través de VPN i utilitzaven la xarxa Tor, fent difícil el rastreig on es basen els atacants. "La diversitat geogràfica dels servidors proxy i VPN va dificultar la determinació del seu veritable origen", va dir Trend Micro.
Els atacants poden haver utilitzat programari maliciós xinès
Basant-se en algunes pistes del codi font, Trend Micro va dir que era possible que el programari maliciós es desenvolupés a la Xina. En aquest moment no se sap si els operadors Safe van desenvolupar el programari maliciós o el van comprar a algú altre.
"Tot i que la determinació de la intenció i la identitat dels atacants continua sent difícil, hem valorat que aquesta campanya està orientada i que utilitza programari maliciós desenvolupat per un enginyer de programari professional que pot estar connectat al subterrani cibercriminal de la Xina", van escriure els investigadors al bloc.
