Gemäß den Analysen von Kaspersky Lab scheinen die Naikon-Angreifer Chinesisch zu sprechen. Ihre Hauptziele sind hochrangige Regierungsinstitutionen sowie zivile und militärische Organisationen im asiatischen Raum – beispielsweise Philippinen, Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur, Nepal, Thailand, Laos und China .
Bei den Naikon-Angriffen stechen die folgenden Merkmale hervor:
In jedem Zielland ist eine designierte Person aktiv, die sich mit den Landesgepflogenheiten auskennt und beispielsweise persönliche E-Mail-Accounts für berufliche Zwecke nutzt.
Die innerhalb eines anvisierten Landes aufgebaute Infrastruktur (ein Proxy-Server) können liefert Support für Echtzeitverbindungen und gezielte Datensuche.
Seit mindestens fünf Jahren werden zahlreiche, hochrangige und geopolitische Attacken durchgeführt.
Die Naikon-Hintermänner operieren mit einem plattformunabhängigen Code und können den gesamten Netzwerkverkehr abfangen.
Die Angreifer können per Fernzugriff 48 Befehle ausführen, darunter komplette Bestandsaufnahmen durchführen, Daten hoch- und herunterladen, Add-ons installieren sowie mit der Kommando-Zeile auf Zielsystemen Befehle eingeben.
Kaspersky Lab wurde im Rahmen einer Analyse der APT-Gruppe „Hellsing“ auf Naikon aufmerksam – ein seltenes und unübliches Beispiel einer Cyberattacke, bei der sich die Cyberspionagegruppen Hellsing und Naikon untereinander bekämpft haben.
Die Opfer von Naikon werden über Spear-Phishing attackiert, also über maßgeschneiderte E-Mails mit gefährlichen Anhängen, die das Interesse potenzieller Opfer wecken sollen. Anstatt eines gewöhnlichen Word-Dokuments entpuppt sich der Anhang allerdings als ausführbare Datei.
Kaspersky-Sicherheitstipps
Kaspersky Lab rät Organisationen zu den folgenden Maßnahmen, um sich vor den Naikon-Angriffen zu schützen:
Niemals Anhänge öffnen oder auf Links klicken, die von unbekannten Nutzern kommen
Auf fortschrittliche IT-Sicherheitslösungen und -Dienstleistungen setzen
Verdächtige Anhänge in einer Sandbox öffnen
Immer aktualisierte Betriebssysteme und Programme nutzen
Der Automatische Exploit-Schutz von Kaspersky Lab erkennt die Naikon-Komponenten als „Exploit.MSWord.CVE-2012-0158”, „Exploit.MSWord.Agent”, „Backdoor.Win32.MsnMM”, „Trojan.Win32.Agent” und „Backdoor.Win32.Agent”.