„Kaspersky Lab“ paskelbė apie kibernetinio tinklo „NetTraveler“, palietusio per 350 kompiuterinių sistemų 40-yje pasaulio šalių, demaskavimą. Buvo atakuojamos valstybinės ir privačios struktūros, tarp jų ir valstybinės institucijos, ambasados, mokslo ir tyrimo centrai, karinės organizacijos, naftos ir dujų bendrovės, taip pat politiniai aktyvistai. Rusija per operaciją „NetTreveler“ atsidūrė labiausiai nukentėjusių šalių sąraše ir užėmė antrąją vietą tarp daugiausia žalos patyrusių šalių.

Remiantis „Kaspersky Lab“ ekspertų atlikto tyrimo rezultatu, šnipinėjimo kampanija prasidėjo dar 2004 m., tačiau aukščiausią tašką pasiekė nuo 2010 iki 2013 m. Pastaruoju metu atakuojamųjų interesų srityje buvo tokios pramonės kaip kosminės erdvės plėtra, nanotechnologijos, energetika, taip pat ir branduolinė, medicina bei telekomunikacijos.

Kompiuteriai aukos buvo užkrečiami netikrais laiškais su kenkėjiškais priedais, taikančiais į silpnąsias „Microsoft Office“ vietas (CVE-2012-0158 ir CVE-2010-3333). Nors bendrovė „Microsoft“ jau išleido daugybę atnaujinimų, silpnosios vietos vis dar dažnai atakuojamos. Priedų pavadinimai aiškiai rodo tikslinį operacijos būdą: užpuolikai kiekvieną kartą siųsdami dokumentą į kitą organizaciją jo pavadinimą taip adaptuoja, kad priverstų gavėją atidaryti failą.

„Kaspersky Lab“ ekspertai tyrimo metu gavo prieigos žurnalus iš kelių „NetTraveler“ komandinių kontrolinių serverių, per kuriuos buvo vykdomas papildomų kenkėjiškų programų diegimas į užkrečiamas mašinas ir buvo kraunami pavogti duomenys. Remiantis „Kaspersky Lab“ specialistų skaičiavimais, pavogtų duomenų apimtis visuose „NetTraveler“ serveriuose sudarė daugiau nei 22 GB. Tarp jų dažniausiai aptinkami sisteminių failų sąrašai, klavišų paspaudimų įrašai ir įvairūs dokumentų tipai: PDF, Excel, Word. Be to, tarp „NetTraveler“ instrumentų buvo aptikta slapta programa, galinti vogti ir kitus konfidencialios informacijos tipus, pavyzdžiui, priedų konfigūracijų aprašymus ir automatizuoto projektavimo sistemos failus.

„NetTraveler“ operacijos aukų aptikta 40 pasaulio šalių, įskaitant Lietuvą, JAV, Kanadą, Didžiąją Britaniją, Čilę, Maroką, Graikiją, Belgiją, Austriją, Ukrainą, Rusiją, Baltarusiją, Australiją, Japoniją, Kiniją (ir jos autonominę teritoriją Honkongą), Mongoliją, Iraną, Turkiją, Indiją, Pakistaną, Pietų Korėją, Tailandą, Katarą, Kazachiją, Jordaniją ir kitas.

Lyginant duomenis, gautus iš „NetTraveler“ komandinių kontrolinių serverių ir debesų tinklo „Kaspersky Security Network” (KSN), „Kaspersky Lab“ ekspertai nustatė labiausiai nukentėjusių šalių dešimtuką. Mažėjančia tvarka šis sąrašas atrodo taip: Mongolija, Rusija, Indija, Kazachija, Kirgizija, Kinija, Tadžikija, Pietų Korėja, Ispanija ir Vokietija.

Be to, „Kaspersky Lab“ analitikai išsiaiškino, kad šešios „NetTraveler“ operacijos aukos anksčiau nukentėjo nuo dar vienos kibernetinio šnipinėjimo kampanijos „Raudonasis spalis“, apie kurią „Kaspersky Lab“ pranešė 2013 m. sausį. Ir nors tiesioginių ryšių tarp „NetTraveler“ ir „Raudonojo spalio“ organizatorių nebuvo aptikta, faktas, kad tie patys vartotojai tampa kibernetinių šnipų aukomis, liudija, jog šių vartotojų turimi duomenys yra labai vertingi užpuolikams.

„Laiko tarpsnis tarp vieno ar kito kibernetinio šnipinėjimo tinklo demaskavimo vis mažėja. Be to, analizuodami matome, kad skirtingos kampanijos anksčiau ar vėliau susikerta: arba taiko panašius atakoms skirtus instrumentus, arba renkasi tas pačias aukas kaip „NetTraveler“ ir „Raudonojo spalio“ atveju. Visi šie faktai liudija, kad kibernetinis šnipinėjimas tampa vis masiškesnis ir jo mastas tik didės“, – teigia Vitalijus Kamliuk, „Kaspersky Lab“ vyriausiasis antivirusų ekspertas.