Gli esperti hanno scoperto che il gruppo Naikon utilizza come lingua principale il cinese e prende di mira agenize governative civili e militari in paesi quali Filippine, Malesia, Cambogia, Indonesia, Vietnam, Myanmar, Singapore e Nepal, Thailandia, Laos e Cina.
Di seguito le caratteristiche identificate da Kaspersky Lab legate alle operazioni del gruppo Naikon:
● Ogni paese ha designato un operatore il cui compito è quello di sfruttare gli aspetti culturali di un determinate Paese, come ad esempio la tendenza ad usare gli account email personali in ambito lavorativo;
● Installazione di un’infrastruttura (server proxy) all’interno dei confini di un Paese per garantire il supporto giornaliero delle connessioni in tempo reale ed estrazione dei dati;
● Almeno 5 anni di attività volta ad attacchi geopolitici di alto profilo e di elevata intensità;
● Codice indipendente dalla piattaforma e capacità di intercettare l’intero traffico di rete;
● Utility di amministrazione da remoto in grado di eseguire 48 comandi, compresi i comandi per ottenere una inventory completa, per scaricare e caricare dati, installare moduli add-on o lavorare con una linea di comando.
Il gruppo di cyberspionaggio Naikon è stato menzionato per la prima volta da Kaspersky Lab in un report diffuso recentemente, “The Chronicles of the Hellsing APT: the Empire Strikes Back”, in cui ha giocato un ruolo chiave nella scoperta di minacce APT. Hellsing è un altro gruppo di criminali che ha deciso di vendicarsi quando è stato colpito da Naikon.
“I criminali che stanno dietro alle azioni di Naikon sono riusciti a costruire un’infrastruttura molto flessibile che può essere installata in qualsiasi Paese tra quelli presi di mira e che permette il tunneling delle informazioni dai sistemi delle vittime al centro di comando. Nel momento in cui i criminali dovessero decidere di colpire un diverso tipo di vittime o puntare ad un altro Paese sarebbe sufficiente per loro installare una nuova connessione. Ciò che rende ancora più semplice il lavoro del gruppo di spionaggio Naikon è avere a disposizione operatori dedicati ad un particolare gruppo di vittime,” – afferma Kurt Baumgartner, Principal Security Researcher, the GreAT team, di Kaspersky Lab.
Gli obiettivi di Naikon vengono colpiti utilizzando tecniche di spear-phishing tradizionali, vale a dire attraverso email contenenti allegati potenzialmente di interesse per la vittima. L’allegato ha le sembianze di un documento Word ma in realtà si tratta di un file eseguibile con una doppia estensione.
Di seguito alcuni consigli per le organizzazioni su come proteggersi da Naikon:
· Non aprire allegati e link provenienti da mittenti sconosciuti
· Usare una soluzione anti-malware avanzata
· Se l’affidabilità dell’allegato non è verificabile è consigliabile aprirlo in una sandbox
· Assicurarsi di avere una versione aggiornata del sistema operativo con le patch installate
Kaspersky Lab protegge gli utenti dalle minacce attraverso la funzione Automatic Exploit Prevention che permette di rilevare componenti Naikon quali: Exploit.MSWord.CVE-2012-0158, Exploit.MSWord.Agent, Backdoor.Win32.MsnMM, Trojan.Win32.Agent e Backdoor.Win32.Agent.
