Subscribe via RSS Feed Connect with me on LinkedIn Connect with me on Flickr

The Mask sau nu totul e ceea ce pare

The Mask, una dintre cele mai avansate operatiuni de spionaj informatic descoperite, vizeaza institutii si companii din 31 de tari

Kaspersky Lab a anuntat ca a descoperit “The Mask”, una dintre cele mai avansate operatiuni de spionaj cibernetic la nivel global.  Atacatorii vorbitori de limba spaniola vizeaza institutii guvernamentale, companii din domeniul energiei, petrolului si gazelor si alte victime foarte importante, prin intermediul unui set de instrumente malware mixte si neobisnuit de sofisticate. Victimele sunt din 31 de tari din intreaga lume – din Orientul Mijlociu si Europa pana in Africa sau America de Nord si Sud.
kaspersky1
Echipa de cercetare a Kaspersky Lab a anuntat descoperirea The Mask (alias Careto), o amenintare avansata, care a fost implicata in operatiuni de spionaj cibernetic inca din 2007. Caracterul special al The Mask este dat de complexitatea setului de instrumente utilizate de catre atacatori. Acesta include un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X si Linux si, probabil, versiuni pentru Android si iOS (iPad/iPhone).Tintele principale sunt institutii guvernamentale, birouri diplomatice si ambasade, companii din domeniul energiei, petrolului si gazelor, organizatii de cercetare si activisti. Victimele acestui atac cu tinte specifice sunt din 31 de tari din intreaga lume ¬ din Orientul Mijlociu si Europa pana in Africa sau Americi, spun cei de la Kaspersky. Principalul obiectiv al atacatorilor este acela de a colecta informatii cu caracter confidential din sistemele infectate.

“Exista o serie de motive pentru care credem ca aceasta ar putea fi o campanie sponsorizata de catre un stat”, spune Costin Raiu, Directorul Global Research and Analysis Team (GReAT) in cadrul Kaspersky Lab.

“In primul rand, am observat un grad foarte inalt de profesionalism in ceea ce priveste procedurile operationale ale grupului din spatele acestui atac. De la administrarea infrastructurii, inchiderea operatiunii, evitarea accesului persoanelor neautorizate prin intermediul regulilor de acces si utilizarea stergerii definitive (wiping) in locul stergerii partiale (deletion) a fisierelor de log. Aceasta combinatie face ca acest atacator sa fie mai sofisticat chiar decat Duqu, fiind una dintre cele mai avansate amenintari in acest moment. Acest nivel de sofisticare nu este normal pentru guparile de infractori cibernetici”, a incheiat Raiu.

Cercetatorii Kaspersky Lab au aflat de existenta lui Careto anul trecut, cand au observat tentative de a exploata o vulnerabilitate a produselor companiei, care fusese reparata cu cinci ani in urma. Exploit-ul respectiv oferea malware-ului capacitatea de a evita detectarea. Desigur, aceasta situatie le-a atras atentia si astfel a inceput investigatia.

Pentru victime, o infectie cu Careto poate fi dezastruoasa. Careto intercepteaza toate canalele de comunicare si colecteaza cele mai importante informatii de pe dispozitivul victimei. Detectarea este extrem de dificila datorita capacitatilor de rootkit foarte discrete, a functionalitatilor incorporate si a modulelor suplimentare de spionaj cibernetic, spun cei de la compania rusa de securitate.
the mask

 Principalele descoperiri:

– Autorii par sa fie vorbitori nativi de limba spaniola, o caracteristica foarte rara in atacurile APT.

– Campania a fost activa timp de cel putin cinci ani pana in ianuarie 2014 (unele mostre ale Careto au fost compilate in 2007). In timpul investigatiilor Kaspersky Lab, serverelor de comanda si  control au fost inchise.

– Au fost detectate peste 380 de victime unice si mai mult de 1000 de IP-uri. Infectiile au fost observate in: Algeria, Argentina, Belgia, Bolivia, Brazilia, China, Columbia, Costa Rica, Cuba, Egipt, Franta, Germania, Gibraltar, Guatemala, Iran, Irak, Libia, Malaysia, Mexic, Maroc, Norvegia, Pakistan, Polonia, Africa de Sud, Spania, Elvetia, Tunisia, Turcia, Regatul Unit, Statele Unite si Venezuela.

– Complexitatea si universalitatea setului de instrumente utilizate de catre atacatori face ca aceasta operatiune de spionaj cibernetic sa fie foarte speciala. Aceasta presupune utilizarea unor exploit-uri foarte performante, un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X si Linux si, probabil, versiuni pentru Android si iOS (iPad/iPhone). The Mask a initiat si un atac personalizat impotriva produsele Kaspersky Lab.

– Printre vectorii atacului, a fost utilizat cel putin un exploit Adobe Flash Player (CVE-2012-0773). Acesta a fost creat pentru versiunile Plash Player mai vechi decat 10.3 si 11.2. Acest exploit a fost descoperit pentru prima data de catre VUPEN si a fost utilizat in 2012 pentru a iesi din sandbox-ul Google Chrome, cu scopul de a castiga concursul CanSecWest Pwn2Own.

 

Sursa: hotnews.ro

Tags: , , ,

Category: Stiri IT & tehnologie

About the Author: Eu nu sufar de prostie ... chiar ma bucur de ea in fiecare zi :))

Leave a Reply

You must be logged in to post a comment.