Cercetătorii Kaspersky Lab, unul dintre cei mai importanţi producători privaţi de soluţii de securitate endpoint din lume, au anunţat astăzi un nou vector de atac al grupării NetTraveler (cunoscută şi ca „Travnet”, „Netfile” sau Red Star APT), o ameninţare de tip Advanced Persistent Threat (APT) care a făcut deja sute de victime foarte importante din 40 de ţări.
Printre ţintele cunoscute ale NetTraveler se numără activiştii tibetani/uiguri, companii din industria petrolului, centre şi institute de cercetare, universităţi, companii private, guverne şi instituţii guvernamentale, ambasade şi contractori militari.
Imediat după descoperirea ameninţării în iunie 2013, atacatorii au închis toate sistemele de comandă şi control şi le-au mutat pe alte servere din China, Hong Kong şi Taiwan şi au continuat atacurile.
Pe parcursul ultimelor zile, mai multe e-mail-uri de tip spear-phising au fost trimise către activiştii uiguri. Exploit-ul Java utilizat pentru a distribui acestă nouă variantă Red Star APT, pentru care a fost lansat un patch în iunie 2013, a avut o mai mare rată de succes. Atacurile anterioare utilizaseră exploit-uri Office (CVE-2012-0158), pentru care Microsoft a lansat patch-uri în luna aprilie.
În plus faţă de utilizarea e-mail-urilor de tip spear-phising, operatorii APT au adoptat tehnica „watering hole” (redirecţionări web şi descărcări de tip drive-by pe domenii false) pentru a infecta victimele care navighează pe internet.
De-a lungul lunii trecute, Kaspersky Lab a interceptat şi a blocat un număr de tentative de infecţii de pe domeniul “weststock[dot]org”, care este un site despre care se ştie că a avut legături cu atacurile anterioare ale NetTraveler. Aceste redirecţionări par să vină de la alte site-uri cu legături uigure, care au fost compromise şi infectate de către atacatorii NetTraveler.
Experţii din cadrul echipei globale de cercetare şi analiză a Kaspersky Lab (GReAT) au prognozat că alte exploit-uri mai recente ar putea fi integrate şi utilizate împotriva ţintelor grupului şi au făcut o serie de recomandări, cu scopul de a ajuta utilizatorii să se protejeze de astfel de atacuri:
Actualizarea Java la cea mai recentă versiune sau, dacă nu este folosit Java, dezinstalarea acestuia.
Actualizarea Microsoft Windows sau Office la cea mai recentă versiune.
Actualizarea tuturor programelor terţe, cum este Adobe Reader.
Utilizarea unui browser securizat, cum este Google Chrome, care are un ciclu mai rapid de dezvoltare şi de lansare a patch-urilor decât Internet Explorer
Atenţie la accesarea link-urilor şi deschiderea ataşamentelor de la necunoscuţi.
„Până în prezent nu am observat utilizarea de vulnerabilităţi de tip zero-day de către gruparea NetTraveler”, a spus Costin Raiu, Director al echipei globale de cercetare şi analiză (GReAT) din cadrul Kaspersky Lab. „Tehnologii ca Automatic Exploit Prevention şi Default Deny pot fi foarte eficiente în lupta împotriva ameninţărilor de tip APT, spre deosebire de patch-uri, care nu ajută foarte mult”, a comcluzionat Raiu.