Sicurezza

NetTraveller ha usato Office per spiare aziende e governi

NetTraveller ha colpito 350 vittime in 40 paesi diversi, rubando oltre 22 GB di dati. Si tratta di una rete di spionaggio digitale recentemente scoperta da Kaspersky Lab. Non un'infezione qualsiasi, ma uno strumento confezionato appositamente per colpire "vittime di alto profilo" e sottrarre dati riservati. Tra i destinatari ci sono tanto aziende private quanto enti pubblici, attivi nei settori più diversi.

Attiva dal 2004, NetTraveller ha registrato l'attività più intensa tra il 2010 e il 2013. "Nel passato più recente i principali settori di interesse […] sono stati l'esplorazione dello spazio, le nanotecnologie, la produzione di energia, il nucleare, i laser, la medicina e le comunicazioni".

Quanto ai metodi d'infezione, continua a funzionare il phishing mirato, confezionato con raffinate tecniche di social engineering. I criminali hanno puntato su documenti Microsoft Office e sfruttato "due vulnerabilità molto usate (CVE-2012-0158 e CVE-2010-3333). Nonostante Microsoft abbia già rilasciato le patch per queste vulnerabilità, queste continuano a essere ampiamente usate per attacchi mirati, grazie alla loro efficacia".

I file sono poi serviti per collegare i PC infetti ai server di Comando e Controllo (C&C), i quali a loro volta "sono stati usati per installare ulteriori malware sulle macchine già infette ed effettuare trasferimenti di dati non autorizzati". Le informazioni trafugate includono sia copie dei file presenti sul computer, i caratteri digitati dall'utente, dettagli di configurazione delle applicazioni e altro.

Kaspersky afferma poi che i paesi più colpiti sono stati Mongolia, Russia, India, Kazakhstan, Cina, Tajikistan, Corea del Sud, Spagna e Germania. L'azienda russa ha poi rilevato un apparente legame tra NetTraveller e Ottobre Rosso, una minaccia emersa lo scorso gennaio. "Il fatto che alcune vittime specifiche siano state infettate da entrambe queste campagne indica come queste siano personalità di alto livello", conclude il comunicato della società russa.