Virus poznat kao NetTraveler, napao je više objekata kako u javnom i privatnom sektoru, uključujući vladine institucije, ambasade, naftne i gasne kompanije, istraživačke centre, vojne institucije i aktiviste

Kasperski Lab tim nedavno je objavio novi izveštaj o rezultatima istraživanja o virusu "NetTraveler", koji pripada porodici zlonamernih programa koji koriste APT žrtve, a već je uspešno zarazio više od 350 žrtava visokog profila u 40 zemalja.

"NetTraveler" je napao više objekata kako u javnom i privatnom sektoru, uključujući vladine institucije, ambasade, naftne i gasne kompanije, istraživačke centre, vojne institucije i aktiviste.

Prema izveštaju pomenute kompanije, ova vrsta pretnje aktivna je još od 2004. godine, ali je najveći obim aktivnosti imala od 2010 - 2013 . Nedavno su glavne oblasti interesovanja "NetTraveler Grupe" postala istraživanja svemira, nanotehnologija, proizvodnja energije, nuklearna energija, laseri, medicina i komunikacije.

Napadači inficiraju žrtve slanjem pametne pfišing i-mejl poruke koje poseduju dve slabosti (CVE-2012-0158 i CVE-2010-3333). Iako je kompanija Majkrosoft već izdala zakrpe za ove slabosti, one su još uvek iskoristive i to sa velikom efikasnošću po napadače.

Naslovi zlonamernih priloga u porukama sjajno oslikavaju kako "NetTravel" grupa prilagođava svoje napore u cilju dosezanja do žrtava visokog profila. Poznati naslovi zlonamernih dokumenata obuhvataju:

- Army Cyber Security Policy 2013.doc (vojna sajberbezbednost)
- Report - Asia Defense Spending Boom.doc (Izveštaj o azijskom bumu za vojnu potrošnju)
- Activity Details.doc (detalji aktivnosti)
- His Holiness the Dalai Lama’s visit to Switzerland day 4 (POseta Dalaj Lame Švajcarskoj)
- Freedom of Speech.doc (sloboda govora)

Tim eksperata dobio je log o infekciji iz nekoliko "NetTraveler" komandi i kontrolnih servera (C&C). C&C serveri se koriste za instalaciju dodatnih zlonamernih programa na zaraženim računarima i eksfiltraciju ukradenih podataka. Eksperti kompanije Kasperski Lab izračunali su količinu ukradenih podataka uskladištenih na NetTraveler je C&C server kao veću od 22 gigabajta.

Eksfiltrovani podaci iz zaraženih računara obično uključuju sistemske listinge, keyloggs, i razne vrste fajlova, uključujući "PDF" datoteke, "Excell" datoteke, "Word" dokumente i fajlove. Pored toga, "NetTraveler" alatke su uspele da instaliraju dodatne programe koji su omogućili prilagođavanje za krađu drugih vrsta osetljivih informacija kao što su konfiguracijski detalji za aplikacije ili računarski fajlovi.