По данным «Лаборатории Касперского», китайский язык является родным для авторов шпионской сети, поразившей более 350 целевых организаций в 40 странах мира.

«Лаборатория Касперского» раскрыла данные своих наблюдений за крупной кибершпионской сетью, поразившей компьютеры более чем 350 целевых организаций в 40 странах мира.

Скрытная слежка за компьютерами жертв, согласно сведениям из отчета «Лаборатории Касперского», велась с помощью вредоносной программы NetTraveler.

С ее помощью злоумышленники способны отслеживать нажатия клавиш на зараженном ПК, получать список доступных файлов и автоматически копировать документы Microsoft Office, PDF, а также файлы систем автоматизированного проектирования.

Эксперты «Лаборатории Касперского», получившие доступ к нескольким командным серверам NetTraveler, заявляют, что объем похищенных данных на них составляет более 22 ГБ.

Интересно, что в числе идентифицированных жертв NetTraveler, по данным «Лаборатории Касперского», более половины относятся к чувствительным государственным структурам: дипломатическим (32%), правительственным (19%) и военным (9%).

Помимо них авторы отчета выделяют научные организации, занятые аэрокосмическими исследованиями, нанотехнологиями, лазерной физикой, исследованиями в области ядерной физики, медицинские институты, нефтедобывающие и телекоммуникационные компании. Кроме них в числе жертв NetTraveler отмечены организации тибетских и уйгурских оппозиционеров в Китае.



Жертвы NetTraveler в разрезе отраслей

Наибольшее число жертв шпионской сети сосредоточено в Монголии, Индии и в России. Однако пораженные ПК обнаружены в 40 странах, в том числе в Южной Корее, США, Великобритании, большом количестве европейских стран и нескольких странах СНГ.

Как отмечают эксперты «Лаборатории Касперского», шесть жертв NetTraveler были также заражены вредоносными программами кибершпионской сети Red October, действующей с 2007 г. Red October также работает, главным образом, в странах бывшего СССР, захватывая страны Восточной Европы и несколько государств Центральной Азии.

Непосредственной связи между создателями NetTraveler и Red October в «Лаборатории Касперского» обнаружено не было, однако их одновременные действия против одних и тех же целей указывает на важность атакуемых объектов.



Карта атак NetTraveler

Как полагает ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк, число атакующих насчитывает до 50 человек, причем для большинства из них родным языком является китайский, хотя они владеют на среднем уровне и английским языком.

В «Лаборатории Касперского» сеть NetTraveler получила название по одному из сообщений, обнаруженных в теле программы: «NetTraveler is Running!» (NetTraveler активен!), и вполне может являться авторским названием кибершпионского проекта.

По словам экспертов «Лаборатории», наиболее ранние известные им версии NetTraveler датируются 2005 г., хотя есть данные, указывающие, что ее разработка велась, начиная с 2004 г. Большинство вредоносных файлов, которые имеются в распоряжении экспертов, датируются 2010 г. - 2013 г.

Заражение атакуемых ПК происходило путем рассылки фишинговых писем с вредоносными вложениями, использующими уязвимости в Microsoft Office. Эксперты ЛК предупреждают, что, хотя Microsoft уже выпустила патч, закрывающий эти уязвимости, они все еще широко распространены и используются для целевых атак.