Шпионская сеть NetTraveler атакует российских и европейских производителей оружия

Исследователи Proofpoint зафиксировали всплеск активности в рамках международной кампании по государственному и промышленному кибершпионажу NetTraveler. Новая кампания направлена на различные организации из России и близлежащих стран, в том числе Монголии, Беларуси и других европейских государств. Наибольший интерес для злоумышленников представляют производители оружия, различные правозащитные организации и продемократические группы.

В рамках нынешней кампании преступники рассылают фишинговые письма, включающие ссылку на RAR-архив, расположенный на подконтрольных хакерам сайтах, или прикрепленный вредоносный документ Microsoft Word. Данный файл содержит эксплоит для уязвимости CVE-2012-0158, позволяющий установить на компьютер пользователя бэкдор NetTraveler.

Для усыпления бдительности жертв злоумышленники регистрируют сайты, имитирующие новостные и военные ресурсы, используемые в качестве C&C-серверов и хостингов для вредоносного ПО. За несколько дней до запуска целевой фишинговой кампании злоумышленники подбирают темы, которые будут интересны жертвам, например, ядерная энергетика, военные учения, геополитическая обстановка и пр. Затем преступники делают соответствующую подборку новостей и используют материалы в качестве приманки.

Кибершпионская кампания NetTraveler стартовала в 2004 году, но пик ее активности пришелся на период с 2010-го по 2013-й годы. За более чем 10 лет работы сеть успела атаковать свыше 350 компьютерных систем в 40 странах мира. От действий преступников больше всего пострадали Монголия, Индия, Казахстан, Киргизия, Китай, Таджикистан, Южная Корея, Испания, Германия, а также Россия. По данным специалистов компании «Лаборатория Касперского», сеть имеет четкую национальную принадлежность: в организации атак принимали участие до 50 человек, для большинства из которых родным языком является китайский.