Onderzoekers van Trend Micro hebben een actieve cyberspionage operatie ontdekt waarin computers van onder andere ministeries, onderzoeksinstellingen, technologiebedrijven en overige organisaties in meer dan 100 landen zijn geïnfecteerd.
De operatie die SafeNet wordt genoemd door Trend Micro, maakt gebruik van spearphising emails (berichten die specifiek worden opgesteld voor een bepaalde groep gebruikers) met kwaadaardige bijlagen.
De onderzoekers ontdekten twee verschillende groepen Command & Conntrol (C&C) servers, waarvan zij vermoeden dat deze voor twee verschillende campagnes zijn ingezet. Bij beide campagnes werd gebruik gemaakt van dezelfde malware.
De eerste campagne maakte gebruik van emails over Tibet en Mongolië, waarin de malware in een Word document was verstopt. Hierbij werd misbruikt gemaakt van een kwetsbaarheid in Microsoft Word waarvoor al in april 2012 een beveiligingsupdate is uitgebracht. Uit de logbestanden van deze C&C servers bleek dat 243 unieke IP adressen uit 11 landen zijn geïnfecteerd. Bij slechts drie slachtoffers uit Mongolië en Sudan was de malware nog actief op het moment van het onderzoek.
De inhoud van de emails uit de tweede campagne is niet teruggevonden. Deze campagne heeft 11.563 unieke IP adressen uit 116 verschillende landen geraakt. Het aantal slachtoffers met actieve malware ligt vermoedelijk lager, aangezien gemiddeld slechts 71 computers actief communiceerden met deze groep C&C servers tijdens het onderzoek.
De malware was ontworpen om informatie te stelen, waaronder wachtwoorden die in Internet Explorer en Mozilla Firefox zijn opgeslagen en inloggegevens voor Remote Desktop Protocol die door Windows worden bewaard. Daarnaast zijn op de C&C servers uitbreidingmodules aangetroffen. Volgens Trend Micro is de malware ontwikkeld door professionele software engineers, die mogelijk uit China komen. Daarnaast was de malware campagne professioneel en gericht opgezet.
De cybercriminelen maakten gebruik van VPN proxies en Tor om anoniem verbinding te maken met de C&C servers.