Penyelidik menemui operasi cyberespionage global baru yang digelar Safe

Penyelidik keselamatan dari Trend Micro telah menemui operasi siber yang aktif yang setakat ini telah menjejaskan komputer milik kementerian kerajaan, syarikat teknologi, media, akademik institusi penyelidikan dan organisasi bukan kerajaan dari lebih dari 100 negara.

Operasi, yang Trend Micro telah dijuluki Selamat, menargetkan mangsa yang berpotensi menggunakan e-mail phishing lembu dengan lampiran yang berniat jahat. Penyelidik syarikat telah menyiasat operasi itu dan menerbitkan sebuah kertas penyelidikan dengan penemuannya pada hari Jumaat.

Dua taktik dilihat

Siasatan itu menemui dua set pelayan perintah-dan-kawalan (C & C) yang digunakan untuk apa yang kelihatannya dua berasingan

[Bacaan lanjut: Bagaimana untuk mengalih keluar perisian hasad dari PC Windows Anda]

Satu kempen menggunakan e-mel phishing lembu dengan kandungan yang berkaitan dengan Tibet dan Mongolia. E-mel ini mempunyai lampiran.doc yang mengeksploitasi kelemahan Microsoft Word yang ditetap oleh Microsoft pada bulan April 2012.

Log akses yang dikumpulkan dari pelayan C & C kempen ini mendedahkan sejumlah 243 IP alamat (IP Protokol) unik dari 11 negara yang berbeza. Bagaimanapun, penyelidik mendapati hanya tiga mangsa yang masih aktif pada masa penyiasatan mereka, dengan alamat IP dari Mongolia dan Sudan Selatan.

Pelayan C & C yang bersamaan dengan kempen serangan kedua log 11,563 alamat IP alamat unik dari 116 negara yang berbeza, tetapi bilangan sebenar mangsa mungkin lebih rendah, kata para penyelidik. Seramai 71 mangsa secara aktif berkomunikasi dengan set pelayan C & C ini pada bila-bila masa semasa siasatan, kata mereka.

E-mel serangan yang digunakan dalam kempen serangan kedua belum dikenalpasti, tetapi kempen itu kelihatan lebih besar dalam skop dan mangsa lebih tersebar luas secara geografi. Lima negara teratas oleh kiraan alamat IP mangsa ialah India, Amerika Syarikat, China, Pakistan, Filipina, dan Rusia.

Malware pada misi

Malware yang dipasang pada komputer yang dijangkiti adalah terutamanya direka untuk mencuri maklumat, tetapi fungsinya dapat ditingkatkan dengan modul tambahan. Para penyelidik menemui komponen plug-in yang khas pada pelayan perintah dan kawalan, serta program luar yang boleh digunakan untuk mengekstrak kata laluan yang disimpan dari Internet Explorer dan Mozilla Firefox, serta kredensial Protokol Desktop Remote yang disimpan dalam Windows.

"Semasa menentukan niat dan identiti penyerang sering sukar untuk memastikan, kami menentukan bahawa kempen Selamat disasarkan dan menggunakan perisian malware yang dibangunkan oleh seorang jurutera perisian profesional yang mungkin dihubungkan dengan cybercriminal underground di China," penyelidik Trend Micro berkata dalam kertas mereka. "Orang ini belajar di sebuah universiti teknikal terkemuka di negara yang sama dan kelihatannya mempunyai akses ke repositori kod sumber syarikat perkhidmatan Internet."

Pengendali pelayan C & C mengaksesnya dari alamat IP di beberapa negara, tetapi paling sering dari China dan Hong Kong, kata penyelidik Trend Micro. "Kami juga melihat penggunaan VPN dan alat proksi, termasuk Tor, yang menyumbang kepada kepelbagaian geografi alamat IP pengendali."

Artikel yang dikemaskini pada pukul 9:36 pagi PT untuk mencerminkan Trend Micro telah mengubah nama operasi cyberespionage yang menjadi subjek cerita, dan pautan ke laporan penyelidikannya.