NetTraveler

0

Durante los últimos años, se ha estado rastreando una campaña de ciber-espionaje que ha comprometido las identidades de de más de 350 víctimas de alto nivel (mandatarios, cargos importantes) en unos 40 países. 

La principal herramienta usada para comprometer a las víctimas es NetTraveler, un programa malicioso usado para espionaje encubierto en ordenadores.

El nombre NetTraveler viene de una cadena interna que está presente en las primeras versiones del malware: “NetTraveler is running!”. Este malware es usado por actores APT para un espionaje básico de sus víctimas. Las versiones pioneras datan del 2005 en base a sus firmas, aunque hay referencias que hablan de su aparición en 2004. El máximo número de muestras se ha obtenido entre 2010 y 2013.

Como objetivos conocidos de NetTraveler (o Netfile) encontramos a los activistas tibetanos o uygures, compañías dedicadas a industria del petróleo, centros de investigación y desarrollo, universidades, compañías privadas, organismos oficiales, embajadas y organismos militares.

Distribución por países de la amenaza Net Traveler

El siguiente mapa describe la cantidad de víctimas afectadas por sectores:

Distribución por sectores de la amenaza NetTraveler

Claves de los ataques de NetTraveler:

1. El mayor número de infecciones lo encontramos en Mongolia, seguido de India y Rusia. En total, 40 países infectados incluyendo Kazajstán, Kirgyzstán, China, Tayikistán, Corea del Sur, España, Alemania, EEUU, Canadá, Reino Unido, Chile, Marruecos, Grecia, Ucrania, Bélgica, Austria, Lituania, Bielorrusia, Australia, Hong Kong, Japón, China, Irán, Turquía, Pakistán, Tailandia, Qatar y Jordania.

2. El grupo ha infectado víctimas de múltiples industrias (gas, crudo), organismos gubernamentales, militares, activistas e instituciones de investigación.

3. Más recientemente, el grupo de espionaje que controla este sistema se ha estado interesando por actividades como: exploración del espacio, nanotecnología, producción energética, energía nuclear, lasers, medicina y comunicaciones.

4. Durante la investigación, se han identificado seis víctimas que han sido infectadas tanto por NetTraveler como por Octubre Rojo

5. Se han empleado ataques tipo spear-phishing que se han aprovechado de vulnerabilidades de Microsoft Office: Exploit.MSWord.CVE-2010-3333 y Exploit.Win32.CVE-2012-0158.

 

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR