卡巴斯基发现针对政府和研究机构的全球性网络间谍行动

近日，卡巴斯基实验室的专家团队发表了一篇最
新的关于Net Traveler的研究报告。新的数据表明：一些高级持续性威胁攻击者使用Net Traverler家族的恶意程序成功感染和攻陷了40个国家的超过350家重要机构。Net Traveler的受害者分布广泛，包括公共机构及私营企业，其中既有政府机构、大使馆，还包括石油和天然气企业、研究中心、军方承包商以及政治活动家。根据卡巴斯基实验室报告，Net Traveler从2004年初就开始活跃。
但是其活跃
最高峰发生于2010至2013年。最近，Net Traveler背后的攻击者的兴趣转向太空开发、纳米技术、能源生产、核能、激光、制药以及通讯，并针对相关领域开展了网络间谍行动。根据卡巴斯基安全专家的分析，Net Traveler的感染手段有以下几种方式：·含恶意Office文档附件，其中包括两种高危漏洞（CVE-2012-0158和CVE-2010-3333）。尽管微软早已经修补了这些漏洞，但其仍然在针对行攻击中被广泛使用，并且已证明攻击非常有效。·钓鱼式攻击邮件中所含恶意附件的标题说明Net Traveler攻击者精心设计了攻击，其目的是为了感染那些重要目标。这些恶意附件的标题包括以下几种：2013年军队网络安全策略.doc报告——亚洲防御开支剧增.doco行动详情.doco达赖喇嘛访问瑞士的第四天o言论自由.doc在对其进行分析过程中，卡巴斯基的专家团队从多个Net Traveler的命令和控制服务器（C&C）获取到感染日志。命令和控制服务器用来在受感染计算机上安装其它恶意软件，并将窃取到的数据泄漏出来。卡巴斯基实验室的专家计算出存储在Net Traveler的命令和控制服务器上的窃取到的数据容量超过22GB。从受感染计算机上泄漏的数据通常包括文件系统列表、键盘击键记录、各种类型的文件（包括PDF、Excel表格和Word文档等文件）。此外，Net Traveler工具还能够安装用于窃取信息的恶意软件作为后门程序，并对其进行配置，用于窃取其它类型的敏感信息，
例如应用程序的配置详情或计算机辅助设计文件。根据卡巴斯基实验室对Net Traveler的C&C数据进行分析，有40个国家和地区的350家机构遭受感染，其中包括美国、加拿大、英国、俄罗斯、智利、摩洛哥、希腊、比利时、奥地利、乌克兰、立陶宛、白俄罗斯、澳大利亚、日本、中国、蒙古、伊朗、土耳其、印度、巴基斯坦、韩国、泰国、卡塔尔、哈萨克斯坦和约旦。而结合C&C数据分析，卡巴斯基实验室专家还使用卡巴斯基安全网络（KSN）进一步确认感染数据。卡巴斯基安全网络检测到的受害者排名前十位的国家分别为蒙古、俄罗斯、印度、哈萨克斯坦、吉尔吉斯斯坦、中国、塔吉克斯坦、韩国、西班牙和德国。而在对Net Traveler分析过程中，卡巴斯基的安全专家还发现有6家受感染机构同时被Net Traveler和”红色十月”所感染。”红色十月”是另一种网络间谍攻击行动，由卡巴斯基实验室在2013年1月所发现。虽然目前没有发现Net Traveler和”红色十月”幕后的攻击者有直接关联，但
同一个机构被两种攻击行动所感染，表明这些重要机构的信息对攻击者来说是非常有价值的商品。