«Лаборатория Касперского» зафиксировала новую волну кампании кибершпионажа NetTraveler
Эксперты «Лаборатории Касперского» сообщили о новой волне кампании кибершпионажа NetTraveler (также известной как Travnet, Netfile или Red Star APT), поразившей ранее сотни государственных и частных организаций в более чем 40 странах мира. Среди выявленных целей операции NetTraveler были правительственные учреждения, посольства, политические активисты, военные организации, нефтегазовые компании, научно-исследовательские центры и университеты, многие из которых располагались на территории России, сообщили CNews в компании.
Сразу же после огласки «Лабораторией Касперского» в июне 2013 г. действий группы, стоящей за NetTraveler, злоумышленники отключили свои командные центры и перенесли их на новые серверы в Китае, Гонконге и Тайване. При этом, как показал анализ текущей ситуации, киберпреступники продолжили беспрепятственно совершать атаки.
«В течение последних нескольких дней были зафиксированы целевые фишинговые рассылки уйгурским активистам. Использованная злоумышленниками Java-уязвимость оказалась более эффективной для заражения компьютеров жертв, так как была закрыта Oracle лишь в июне этого года, а значит, все еще широко распространена среди пользователей, — рассказали в «Лаборатории Касперского». — Предыдущая серия атак осуществлялась через уязвимости Microsoft Office (CVE-2012–0158), «заплатки» для которых были выпущены компанией Microsoft еще в апреле».
В дополнение к фишинговым рассылкам, группа злоумышленников теперь также применяет технику Watering Hole, заключающуюся в веб-перенаправлениях и принудительной загрузке файлов со специально подготовленных доменов, заражая тем самым посетителей веб-сайтов. За прошедший месяц специалисты «Лаборатории Касперского» перехватили и заблокировали ряд таких попыток заражения со стороны домена «wetstock[dot]org», который уже был связан с кампанией NetTravaler ранее. Перенаправления происходили с различных уйгурских сайтов, которые были предварительно взломаны и заражены атакующими.
Эксперты «Лаборатории Касперского» полагают, что злоумышленники могут использовать и другие средства для достижения своих целей, поэтому выработали ряд рекомендаций, как оградить себя от подобных атак: необходимо обновить Java до самой актуальной версии (если Java не используется, лучше деинсталлировать это приложение); установить самые свежие обновления Microsoft Windows и Microsoft Office; обновить все стороннее программное обеспечение, например Adobe Reader; использовать безопасный интернет-браузер (например, Google Chrome, цикл разработки и обновления которого быстрее, чем у штатного Windows-браузера Internet Explorer, отметили в компании); не спешить переходить по ссылкам и открывать вложения в письмах от неизвестных лиц.
«К счастью, на данный момент мы не обнаружили случаев использования уязвимостей нулевого дня хакерами, стоящими за NetTraveler. В этом случае даже постоянное применение обновлений не может гарантировать полной защищенности, однако ее можно обеспечить такими технологиями, как «Запрет по умолчанию» и «Автоматическая защита от эксплойтов», которые входят в состав современных защитных решений», — прокомментировал ситуацию Костин Раю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».
© CNews