Trend Micros säkerhetsforskare har upptäckt en ny massiv kampanj för cyberspionage som har angripit över 50 offer varje dag under lång tid. Bland offren finns myndigheter, teknikföretag, akademiska forskningsinstitutioner, icke-statliga organisationer och mediehus.
Attacken som kallas "Safe", sågs första gången i oktober 2012 och har hittills attackerat nästan 12 000 unika ip-adresser spridda över mer än 100 länder som anslutits till två uppsättningar av så kallade command-and-control (C & C)-servrar.
"Genom att undersöka och övervaka verksamheten i Safe-kampanjen över tid, kunde vi dra nytta av de misstag angriparna gjort och därmed få en djupare förståelse för deras verksamhet," skriver forskarna i ett whitepaper som beskriver kampanjen.
"En av servrarna skapades på ett sådant sätt att innehållet i dess kataloger var synlig för alla som visat dem. Tack vara detta, kunde vi inte bara avgöra vem kampanjens offren var, men vi kunde också hämta backup-arkiv som innehöll php-källkod som angriparna använt i C&C-servern och C-kod som de använde för att generera skadlig kod för sina attacker. "
Attackerna börjar smått förutsägbart via e-postmeddelanden som anspelar på ett tibetanskt eller mongoliskt tema. E-postmeddelandet innehåller en skadlig Word-fil som särskilt utformats för att utnyttja en sårbarhet (CVE-2012-0158) i äldre versioner av Word.
Om offret öppnar dokumentet installeras skadliga filer på systemet i bakgrunden inför den andra etappen av attacken där det laddas ner och körs ytterligare skadlig kod och verktyg såsom program som kan extrahera sparade lösenord från Internet Explorer och Mozilla Firefox samt alla lagrade Remote Desktop Protocol (RDP)- arkiv.
Analysen av de ip-adresser som kontaktade de två C&C-servrarna visade att de flesta offren fanns i Mongoliet, Indien, USA, Kina, Pakistan och Filippinerna. En närmare titt på servrarna tillät också forskarna att identifiera de verktyg och källkod som angriparna använde för att skapa, distribuera och kryptera data. Trend Micro uppger att mycket talar för att skaparen av Safe är baserad i Kina och de tror att han är en professionell programvaruingenjör.
"Hela källkoden är uttryckligen skriven med framtida utveckling i åtanke. Det moduluppbyggda och kraftigt kommenterade systemet är skapat på ett sätt som möjliggör vidare utveckling av andra programmerare. Dessa egenskaper är traditionellt väldigt vanligt i arbetet med professionell programvara av ingenjörer som har lärt sig traditionell datavetenskap", menar Trend Micros forskare.