Ang mga mananaliksik ay nagbukas ng bagong global cyberespionage na operasyon na tinatawag na Safe

Ang mga mananaliksik ng seguridad mula sa Trend Micro ay nagbukas ng isang aktibong operasyong cyberespionage na ngayon ay nakakompromiso sa mga computer na kabilang sa mga ministri ng pamahalaan, mga kumpanya ng teknolohiya, mga media outlet, mga institusyon sa pananaliksik at mga organisasyon na hindi pangnegosyo mula sa higit sa 100 bansa.

Ang operasyon, na tinaguriang Trend Micro ay Ligtas, nagta-target ng mga potensyal na biktima gamit ang mga spelling phishing email na may malisyosong mga attachment. Ang mga mananaliksik ng kumpanya ay sinisiyasat ang operasyon at nag-publish ng isang papel na pananaliksik sa kanilang mga natuklasan Biyernes.

Dalawang taktika na nakita

Ang pagsisiyasat ay nagbukas ng dalawang hanay ng mga server ng command-and-control (C & C) na ginagamit para sa kung ano ang mukhang dalawang nakahiwalay na Ligtas

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang isang kampanyang gumagamit ng mga phishing email ng spear na may nilalamang may kaugnayan sa Tibet at Mongolia. Ang mga email na ito ay mayroong mga attachment na.doc na nagsasamantala sa kahinaan ng Microsoft Word na itinakda ng Microsoft noong Abril 2012.

Ang mga naka-log ng access na natipon mula sa mga server ng C & C ng kampanya ay nagsiwalat ng kabuuang 243 na mga natatanging IP (Internet Protocol) address mula sa 11 iba't ibang bansa. Gayunpaman, nakita lamang ng mga mananaliksik ang tatlong biktima na aktibo pa rin sa panahon ng kanilang pagsisiyasat, na may mga IP address mula sa Mongolia at South Sudan.

Ang mga server ng C & C na nauugnay sa pangalawang kampanya sa pagsalakay ay naka-log 11,563 natatanging mga IP address ng biktima mula sa 116 iba't ibang bansa, ngunit ang aktwal na bilang ng mga biktima ay malamang na maging mas mababa, sinabi ng mga mananaliksik. Sa karaniwan, ang 71 na biktima ay aktibong nakikipag-usap sa hanay ng mga server ng C & C sa anumang oras sa pagsisiyasat, sinabi nila.

Ang mga pag-atake sa mga email na ginamit sa pangalawang atake na kampanya ay hindi nakilala, ngunit ang kampanya ay lumalaki na mas malaki sa ang saklaw at ang mga biktima ay mas malawak na nakakalat sa heograpiya. Ang pinakamataas na limang bansa sa bilang ng mga IP address ng biktima ay Indya, US, China, Pakistan, Pilipinas, at Russia.

Malware sa isang misyon

Ang malware na naka-install sa mga nahawaang computer ay pangunahing idinisenyo upang magnakaw ng impormasyon, ngunit ang pag-andar nito ay maaaring mapahusay na may mga karagdagang modules. Nakakita ang mga mananaliksik ng mga plug-in na mga plug-in sa mga command at control server, pati na rin ang mga programa ng off-the-shelf na maaaring magamit upang kunin ang mga naka-save na password mula sa Internet Explorer at Mozilla Firefox, pati na rin ang mga kredensyal ng Remote Desktop Protocol na nakaimbak sa Windows.

"Habang ang pagtukoy ng layunin at pagkakakilanlan ng mga attackers ay madalas na nananatiling mahirap upang alamin, natukoy namin na ang Ligtas na kampanya ay naka-target at gumagamit ng malware na binuo ng isang propesyonal na software engineer na maaaring konektado sa cybercriminal sa ilalim ng lupa sa China," Sinabi ng Trend Micro na mga mananaliksik sa kanilang papel. "Ang indibidwal na ito ay nag-aral sa isang kilalang teknikal na unibersidad sa parehong bansa at lumilitaw na may access sa isang source code repository ng kumpanya sa Internet service."

Ang mga operator ng mga server ng C & C ay nag-access sa kanila mula sa mga IP address sa maraming bansa, ngunit kadalasan mula Tsina at Hong Kong, sinabi ng Trend Micro na mga mananaliksik. "Nakita din namin ang paggamit ng mga tool ng VPN at proxy, kabilang ang Tor, na nag-ambag sa geographic diversity ng mga IP address ng mga operator."

Na-update ang artikulo sa 9:36 ng umaga upang mapakita na ang Trend Micro ay nagbago ng pangalan ng ang operasyong cyberespionage na paksa ng kuwento, at ang link sa ulat ng pananaliksik nito.