Kaspersky heeft aanwijzingen dat NetTraveler al sinds 2004 rondwaart. In al die jaren hebben aanvallers er strategische (zogeheten ‘high profile’) doelwitten zoals universiteiten, ambassades, de olie- en gasindustrie, (wetenschappelijke) onderzoeksinstituten, militaire toeleveranciers en activisten mee bespioneerd. Het securitybedrijf komt met een lijst van 40 landen waarin dit is gebeurd, Nederland staat daar niet tussen.

Geen zero-days of rootkits

NetTraveler (ook wel aangeduid als ‘Travnet’ of ‘Netfile’) is ontworpen om gevoelige data te stelen. Daarbij registreert het toetsaanslagen en verzamelt de malware bestandslijsten en verschillende Office- en PDF-documenten. De NetTraveler Toolkit bestaat uit een trojan en downloader, alsmede 3 exploits voor Microsoft Office bedoeld voor spear fishing-aanvallen.

Kaspersky noemt het in zijn uitgebreide analyserapport verrassend dat er geen geavanceerd gebruik van zero-days of rootkits is gemaakt, maar dat er met simpele malware toch zo ontzettend veel ‘high profile’ slachtoffers zijn gemaakt.

De getroffen landen en types doelwit:

Klik voor groot

Via: Kaspersky Labs

De meeste malware-samples die Kaspersky heeft kunnen inzien zijn van tussen 2010 en 2013. De oudste samples leiden echter helemaal terug naar 2004. Het securitybedrijf heeft 22GB data aangetroffen op een nog actieve command-and- control (C&C) server. De diefstal is desondanks veel omvangrijker, aangezien Kasperksy heeft ontdekt dat er van diezelfde server data is gedownload en verwijderd door de aanvallers.

'Chinese groepering'

Volgens het Russische securitybedrijf is de spionagemalware van Chinese afkomst. “Gebaseerd op verzamelde inlichtingen gaat het om een groep van ongeveer 50 individuen, waarvan de meesten Chinees als moedertaal hebben en een basiskennis van de Engelse taal hebben.

Opmerkelijk zijn ook zes overeenkomstige slachtoffers met cyberspionagenetwerk ‘Red October’ (of Rocra). Die 5 jaar oude spionagecampagne werd in januari door Kaspersky onthuld. Die malware was volgens het bedrijf van Russisch-Chinese makelij en had onder meer doelwitten zoals de NAVO en richtte zich ook op België, waarbij de kans groot is dat Europese instanties zijn bespioneerd.