The Mask sau nu totul e ceea ce pare
The Mask, una dintre cele mai avansate operatiuni de spionaj informatic descoperite, vizeaza institutii si companii din 31 de tari
“Exista o serie de motive pentru care credem ca aceasta ar putea fi o campanie sponsorizata de catre un stat”, spune Costin Raiu, Directorul Global Research and Analysis Team (GReAT) in cadrul Kaspersky Lab.
“In primul rand, am observat un grad foarte inalt de profesionalism in ceea ce priveste procedurile operationale ale grupului din spatele acestui atac. De la administrarea infrastructurii, inchiderea operatiunii, evitarea accesului persoanelor neautorizate prin intermediul regulilor de acces si utilizarea stergerii definitive (wiping) in locul stergerii partiale (deletion) a fisierelor de log. Aceasta combinatie face ca acest atacator sa fie mai sofisticat chiar decat Duqu, fiind una dintre cele mai avansate amenintari in acest moment. Acest nivel de sofisticare nu este normal pentru guparile de infractori cibernetici”, a incheiat Raiu.
Cercetatorii Kaspersky Lab au aflat de existenta lui Careto anul trecut, cand au observat tentative de a exploata o vulnerabilitate a produselor companiei, care fusese reparata cu cinci ani in urma. Exploit-ul respectiv oferea malware-ului capacitatea de a evita detectarea. Desigur, aceasta situatie le-a atras atentia si astfel a inceput investigatia.
Pentru victime, o infectie cu Careto poate fi dezastruoasa. Careto intercepteaza toate canalele de comunicare si colecteaza cele mai importante informatii de pe dispozitivul victimei. Detectarea este extrem de dificila datorita capacitatilor de rootkit foarte discrete, a functionalitatilor incorporate si a modulelor suplimentare de spionaj cibernetic, spun cei de la compania rusa de securitate.
Principalele descoperiri:
– Autorii par sa fie vorbitori nativi de limba spaniola, o caracteristica foarte rara in atacurile APT.
– Campania a fost activa timp de cel putin cinci ani pana in ianuarie 2014 (unele mostre ale Careto au fost compilate in 2007). In timpul investigatiilor Kaspersky Lab, serverelor de comanda si control au fost inchise.
– Au fost detectate peste 380 de victime unice si mai mult de 1000 de IP-uri. Infectiile au fost observate in: Algeria, Argentina, Belgia, Bolivia, Brazilia, China, Columbia, Costa Rica, Cuba, Egipt, Franta, Germania, Gibraltar, Guatemala, Iran, Irak, Libia, Malaysia, Mexic, Maroc, Norvegia, Pakistan, Polonia, Africa de Sud, Spania, Elvetia, Tunisia, Turcia, Regatul Unit, Statele Unite si Venezuela.
– Complexitatea si universalitatea setului de instrumente utilizate de catre atacatori face ca aceasta operatiune de spionaj cibernetic sa fie foarte speciala. Aceasta presupune utilizarea unor exploit-uri foarte performante, un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X si Linux si, probabil, versiuni pentru Android si iOS (iPad/iPhone). The Mask a initiat si un atac personalizat impotriva produsele Kaspersky Lab.
– Printre vectorii atacului, a fost utilizat cel putin un exploit Adobe Flash Player (CVE-2012-0773). Acesta a fost creat pentru versiunile Plash Player mai vechi decat 10.3 si 11.2. Acest exploit a fost descoperit pentru prima data de catre VUPEN si a fost utilizat in 2012 pentru a iesi din sandbox-ul Google Chrome, cu scopul de a castiga concursul CanSecWest Pwn2Own.
Sursa: hotnews.ro
Category: Stiri IT & tehnologie