Forskare upptäcker en global global cyberespionage-operation som kallas Safe

Säkerhetsforskare från Trend Micro har upptäckt en aktiv cyberspionage-operation som hittills har äventyrat datorer som hör till regeringens ministerier, teknikföretag, medier, akademiker forskningsinstitutioner och icke-statliga organisationer från mer än 100 länder.

Verksamheten, som Trend Micro har kallat Safe, riktar sig till potentiella offer som använder spionfiske-e-postmeddelanden med skadliga bilagor. Företagets forskare har undersökt operationen och publicerat ett forskningspapper med sina resultat fredag.

Två taktik påpekade

Undersökningen avslöjade två uppsättningar kommando- och kontrollservrar (C & C) som användes för vad som verkar vara två separata Safe attackera kampanjer som har olika mål men använda samma skadliga program.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

En kampanj använder spionfiske-e-post med innehåll relaterat till Tibet och Mongoliet. Dessa e-postmeddelanden har.doc-bilagor som utnyttjar en Microsoft Word-sårbarhet patchad av Microsoft i april 2012.

Åtkomstloggar samlade från kampanjens C & C-servrar avslöjade totalt 243 unika offer IP-adresser (Internet Protocol) från 11 olika länder. Däremot fann forskarna bara tre offer som fortfarande var aktiva vid undersökningen, med IP-adresser från Mongoliet och Sydsudan.

C & C-servrarna som motsvarade den andra attackkampanjen loggade 11 563 unika offer IP-adresser från 116 olika länder, men det faktiska antalet offer kommer sannolikt att vara mycket lägre, sa forskarna. I genomsnitt rapporterade 71 offren aktivt med den här uppsättningen C & C-servrar vid vilken tidpunkt som helst under undersökningen, sade de.

De attacker som användes i den andra attackkampanjen har inte identifierats, men kampanjen verkar vara större i omfattning och offren spridda mer geografiskt. De fem största länderna av offerets IP-adresstal är Indien, USA, Kina, Pakistan, Filippinerna och Ryssland.

Malware på uppdrag

Malware installerad på de infekterade datorerna är främst avsedd för att stjäla information, men dess funktionalitet kan förbättras med ytterligare moduler. Forskarna hittade special-plug-in-komponenter på kommando- och kontrollservrarna, samt off-the-shelf-program som kan användas för att extrahera sparade lösenord från Internet Explorer och Mozilla Firefox, såväl som Remote Desktop Protocol-uppgifter lagrade i Windows.

"När vi bestämmer avsiktet och identiteten hos attackerna är det ofta svårt att fastställa, bestämde vi oss för att Safe-kampanjen är inriktad och använder skadlig programvara som utvecklats av en professionell mjukvaruingenjör som kan vara ansluten till den cybercriminal underjordiska i Kina" Trend Micro forskarna sa i sitt papper. "Den här personen studerade vid ett framstående tekniskt universitet i samma land och verkar ha tillgång till ett internettjänstföretags källkodsförråd."

Operatörerna av C & C-servrarna åtnjöt dem från IP-adresser i flera länder, men oftast från Kina och Hong Kong, säger Trend Micro-forskarna. "Vi såg också användningen av VPN och proxy-verktyg, inklusive Tor, vilket bidrog till den geografiska mångfalden av operatörernas IP-adresser."

Artikel uppdaterad klockan 9:36 PT för att återspegla att Trend Micro har ändrat namnet på den cyberespionage operation som var föremål för historien, och länken till sin forskningsrapport.