A forgalmi adatok vizsgálata közben a kutatók úgy találták, egyértelműen indiai eredetű a támadás, és az már sokkal korábban elkezdődött, legalább két évre visszamenőleges nyomokat sikerült azonosítani. Az említett Új Delhi-ben jegyzett társaság még 2011-ben regisztrálta a támadás során felhasznált digitális tanúsítványt. A kártevőterjesztők nagy számú e-mail üzenetet küldtek szét, ezek mellékletében volt megtalálható a sérülékenységet tartalmazó preparált PDF dokumentum, vagy a kártevőt hordozó EXE állomány.
Mint azt Béres Péter, az ESET magyarországi disztribútora, a Sicontact Kft. vezető IT tanácsadója elmondta, számos különféle témájú e-mail üzenetet sikerül beazonosítani, amelyek többek közt a "pakistandefencetoindiantopmiltrysecreat.exe" melléklettel érkeztek a gyanútlan felhasználókhoz. Az ESET telemetriai adatai azt mutatják, a legerősebben érintett ország Pakisztán volt, az összes célzott támadás 79%-a köthető ide.
Az adatok szerint az incidens első fertőzési vektora egy CVE-2012-0158 sebezhetőséghez köthető, ez a Microsoft Office rendszerben szereplő kihasználható hiba jól láthatóan több, mint egy éves, és már korábban is használták kémkedésre, adatlopásra például egy 2012 decemberi kínai eredetű támadásnál, amelynél orosz gépekről próbáltak meg bizalmas adatokat lopni. A fertőzött email mellékletekben található Word és PDF állományokban található sebezhetőség kihasználása távoli kódfuttatást tesz lehetővé a javítatlan gépeken.
A kártevő bizalmas adatokat lopott a gépekről, és azokat észrevétlenül továbbította. Ebben többféle technikát is alkalmaztak, kezdve a billentyűzet leütéseket naplózó kémprogram komponenstől a rendszeres időközönként képernyőképeket lopó rutinokig, és ezeket aztán érdekes módon titkosítatlan formában távoli szerverekre töltötték fel. Valóban meglepő, hogy nem éltek a titkosítás adta lehetőséggel, amelyet pedig egyszerűen alkalmazhattak volna, és az akció nyomainak hatékonyabb fedezésére is alkalmas lehetett volna - tette hozzá Béres Péter.
A kártevő különféle variánsainak, és járulékos kártékony komponenseinek detektálását az ESET felismerési adatbázisai tartalmazzák. A megfelelő védekezéshez a naprakész vírusvédelem mellett az operációs rendszer, és felhasználói programjaink naprakész biztonsági javításait is alkalmazni kell, illetve a ismeretlen, kéretlen, gyanús forrásból érkező, mellékletként Microsoft vagy PDF dokumentumot, illetve futtatható állományt tartalmazó leveket is érdemes olvasatlanul törölni. A teljes technikai vizsgálat elérhető a WeLiveSecurity.com oldalon, mely az ESET hírcsatornája a legfrissebb információkkal a cyber-fenyegetések világáról.
Célzott adatlopás PDF állománnyal
Az ESET Live Grid adatainak elemzése közben olyan forgalmi adatokra bukkant, melyből pakisztáni gépek ellen végrehajtott célzott kártevőtámadás képe bontakozott ki. Egy indiai céghez köthető aláírt tanúsítvánnyal végrehajtott akcióban sebezhetőséget tartalmazó PDF fájlokat használtak fel a támadáshoz, és loptak el bizalmas adatokat a fertőzött számítógépekről.