Les chercheurs découvrent une nouvelle opération mondiale de cyberespionnage nommée Safe

Des chercheurs en sécurité de Trend Micro ont mis au jour une opération de cyberespionnage active qui a jusqu'à présent compromis les ordinateurs appartenant aux ministères, aux entreprises technologiques, aux médias, aux universités et aux entreprises. institutions de recherche et organisations non gouvernementales de plus de 100 pays.

L'opération, que Safe Micro a baptisée Safe, cible les victimes potentielles en utilisant des courriels de phishing avec des pièces jointes malveillantes. Les chercheurs de la société ont enquêté sur l'opération et publié un document de recherche avec leurs résultats vendredi.

Deux tactiques repérées

L'enquête a révélé deux ensembles de serveurs de commande et de contrôle (C & C) utilisés pour ce qui semble être deux Safe attaquez les campagnes qui ont des cibles différentes, mais utilisez le même malware.

[Plus d'informations: Comment supprimer les malwares de votre PC Windows]

Une campagne utilise des spear phishing avec du contenu lié au Tibet et à la Mongolie.

Les journaux d'accès collectés à partir des serveurs C & C de cette campagne ont révélé un total de 243 adresses IP (Internet Protocol) victimes provenant de 11 pays différents. Cependant, les chercheurs n'ont trouvé que trois victimes encore actives au moment de leur enquête, avec des adresses IP en Mongolie et au Soudan du Sud.

Les serveurs C & C correspondant à la seconde campagne d'attaque ont enregistré 11 563 adresses IP victimes provenant de 116 pays différents, mais le nombre réel de victimes est susceptible d'être beaucoup plus faible, selon les chercheurs. En moyenne, 71 victimes communiquaient activement avec cet ensemble de serveurs C & C à n'importe quel moment de l'enquête.

Les e-mails d'attaque utilisés dans la seconde campagne d'attaque n'ont pas été identifiés, mais la campagne semble être plus importante. portée et les victimes plus largement dispersées géographiquement. Les cinq premiers pays par nombre d'adresses IP des victimes sont l'Inde, les États-Unis, la Chine, le Pakistan, les Philippines et la Russie.

Malware en mission

Le malware installé sur les ordinateurs infectés est principalement conçu pour dérober des informations. sa fonctionnalité peut être améliorée avec des modules supplémentaires. Les chercheurs ont trouvé des composants plug-in spéciaux sur les serveurs de commande et de contrôle, ainsi que des programmes prêts à l'emploi qui peuvent être utilisés pour extraire des mots de passe enregistrés d'Internet Explorer et Mozilla Firefox, ainsi que des informations d'identification du protocole Remote Desktop stockées dans Windows.

"Bien que déterminer l'intention et l'identité des attaquants reste souvent difficile à déterminer, nous avons déterminé que la campagne Safe est ciblée et utilise des logiciels malveillants développés par un ingénieur logiciel qui peut être connecté au cybercriminel en Chine" les chercheurs de Trend Micro ont déclaré dans leur document. "Cet individu a étudié dans une université technique de premier plan dans le même pays et semble avoir accès au référentiel de code source d'une société de services Internet."

Les opérateurs des serveurs C & C ont accédé aux adresses IP dans plusieurs pays. La Chine et Hong Kong, les chercheurs de Trend Micro ont dit. "Nous avons également vu l'utilisation de VPN et d'outils de proxy, y compris Tor, qui ont contribué à la diversité géographique des adresses IP des opérateurs."

Article mis à jour à 09:36 PT pour refléter le changement de nom de Trend Micro l'opération de cyberespionnage qui a fait l'objet de l'histoire, et le lien avec son rapport de recherche.