Kaspersky Lab a anuntat ca a descoperit "The Mask", una dintre cele mai avansate operatiuni de spionaj cibernetic la nivel global. Atacatorii vorbitori de limba spaniola vizeaza institutii guvernamentale, companii din domeniul energiei, petrolului si gazelor si alte victime foarte importante, prin intermediul unui set de instrumente malware mixte si neobisnuit de sofisticate. Victimele sunt din 31 de tari din intreaga lume - din Orientul Mijlociu si Europa pana in Africa sau America de Nord si Sud.

Echipa de cercetare a Kaspersky Lab a anuntat descoperirea The Mask (alias Careto), o amenintare avansata, care a fost implicata in operatiuni de spionaj cibernetic inca din 2007. Caracterul special al The Mask este dat de complexitatea setului de instrumente utilizate de catre atacatori. Acesta include un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X si Linux si, probabil, versiuni pentru Android si iOS (iPad/iPhone).

Tintele principale sunt institutii guvernamentale, birouri diplomatice si ambasade, companii din domeniul energiei, petrolului si gazelor, organizatii de cercetare si activisti. Victimele acestui atac cu tinte specifice sunt din 31 de tari din intreaga lume ¬ din Orientul Mijlociu si Europa pana in Africa sau Americi, spun cei de la Kaspersky.

Principalul obiectiv al atacatorilor este acela de a colecta informatii cu caracter confidential din sistemele infectate. Acestea includ documente oficiale, dar si diverse chei de criptare, configuratii VPN, chei SSH (care au rolul de a identifica un utilizator sau un server SSH) si fisiere RDP (utilizate de catre Remote Desktop Client pentru a deschide automat o conexiune cu computerul rezervat).

"Exista o serie de motive pentru care credem ca aceasta ar putea fi o campanie sponsorizata de catre un stat", spune Costin Raiu, Directorul Global Research and Analysis Team (GReAT) in cadrul Kaspersky Lab.

"In primul rand, am observat un grad foarte inalt de profesionalism in ceea ce priveste procedurile operationale ale grupului din spatele acestui atac. De la administrarea infrastructurii, inchiderea operatiunii, evitarea accesului persoanelor neautorizate prin intermediul regulilor de acces si utilizarea stergerii definitive (wiping) in locul stergerii partiale (deletion) a fisierelor de log. Aceasta combinatie face ca acest atacator sa fie mai sofisticat chiar decat Duqu, fiind una dintre cele mai avansate amenintari in acest moment. Acest nivel de sofisticare nu este normal pentru guparile de infractori cibernetici", a incheiat Raiu.

Cercetatorii Kaspersky Lab au aflat de existenta lui Careto anul trecut, cand au observat tentative de a exploata o vulnerabilitate a produselor companiei, care fusese reparata cu cinci ani in urma. Exploit-ul respectiv oferea malware-ului capacitatea de a evita detectarea. Desigur, aceasta situatie le-a atras atentia si astfel a inceput investigatia.

Pentru victime, o infectie cu Careto poate fi dezastruoasa. Careto intercepteaza toate canalele de comunicare si colecteaza cele mai importante informatii de pe dispozitivul victimei. Detectarea este extrem de dificila datorita capacitatilor de rootkit foarte discrete, a functionalitatilor incorporate si a modulelor suplimentare de spionaj cibernetic, spun cei de la compania rusa de securitate.

Principalele descoperiri:

  • Autorii par sa fie vorbitori nativi de limba spaniola, o caracteristica foarte rara in atacurile APT.  
  •  Campania a fost activa timp de cel putin cinci ani pana in ianuarie 2014 (unele mostre ale Careto au fost compilate in 2007). In timpul investigatiilor Kaspersky Lab, serverelor de  comanda si  control au fost inchise.
  • Au fost detectate peste 380 de victime unice si mai mult de 1000 de IP-uri. Infectiile au fost observate in: Algeria, Argentina, Belgia, Bolivia, Brazilia, China, Columbia, Costa Rica, Cuba, Egipt, Franta, Germania, Gibraltar, Guatemala, Iran, Irak, Libia, Malaysia, Mexic, Maroc, Norvegia, Pakistan, Polonia, Africa de Sud, Spania, Elvetia, Tunisia, Turcia, Regatul Unit, Statele Unite si Venezuela.
  • Complexitatea si universalitatea setului de instrumente utilizate de catre atacatori face ca aceasta operatiune de spionaj cibernetic sa fie foarte speciala. Aceasta presupune utilizarea unor exploit-uri foarte performante, un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X si Linux si, probabil, versiuni pentru Android si iOS (iPad/iPhone). The Mask a initiat si un atac personalizat impotriva produsele Kaspersky Lab.  
  •  Printre vectorii atacului, a fost utilizat cel putin un exploit Adobe Flash Player (CVE-2012-0773). Acesta a fost creat pentru versiunile Plash Player mai vechi decat 10.3 si 11.2. Acest exploit a fost descoperit pentru prima data de catre VUPEN si a fost utilizat in 2012 pentru a iesi din sandbox-ul Google Chrome, cu scopul de a castiga concursul CanSecWest Pwn2Own.

Metode de infectare si functionalitate

Potrivit raportului de analiza Kaspersky Lab, campania The Mask se bazeaza pe e-mail-uri de tip "spear-phising" cu link-uri catre website-uri cu o componenta malware. Website-ul infectat contine un numar de exploit-uri create pentru a¬l infecta pe vizitator, in functie de configuratia sistemului. In momentul infectarii cu succes, website-ul infectat redirectioneaza utilizatorul catre site-ul legitim la care se facea referire in e-mail, care poate fi YouTube sau un portal de stiri.

Este important de sublinat faptul ca website-urile care folosesc exploit-uri nu infecteaza automat vizitatorii, in schimb, atacatorii stocheaza exploiturile in folder-e specifice ale website-ului, catre care nu se face trimitere directa decat in e-mail-urile cu componenta malware. Uneori, atacatorii utilizeaza subdomenii pe website-urile cu exploit-uri, pentru a le face sa para mai autentice. Aceste subdomenii simuleaza subsectiuni ale principalelor ziare din Spania si ale unor publicatii internationale, cum sunt, de exemplu, The Guardian si Washington Post.

Malware-ul intercepteaza toate canalele de comunicare si colecteaza cele mai importante informatii din sistemele infectate. Careto este un sistem extrem de modular, folosindu-se de plugin-uri si fisiere de configurare, care ii permit sa indeplineasca un numar mare de functii. In plus fata de functionalitatile incorporate, operatorii lui Careto ar putea sa incarce module suplimentare care ar putea indeplini orice sarcina cu caracter malware.