Video: Фильм 14+ «История первой любви» Смотреть в HD (September 2024)
Kaspersky Lab-forskare avslöjade en cyber-spionageoperation mot regerings-, energi-, olje- och gasorganisationer runt om i världen med hjälp av det mest sofistikerade utbudet av verktyg hittills. Företaget sa att operationen hade alla öronmärken för att vara en nationstatsattack.
Costin Raiu, chef för det globala forsknings- och analysteamet vid Kaspersky Lab, och hans team avslöjade detaljerna bakom "The Mask" på Kaspersky Lab Security Analysts Summit på måndag, och beskrev hur operationen använde ett rootkit, bootkit och skadlig programvara utformad för Windows, Mac OS X och Linux. Det kan till och med finnas Android- och iOS-versioner av skadlig programvara som används, sade teamet. Av alla indikatorer är Mask en elit nationell kampanj, och dess struktur är ännu mer sofistikerad än Flame-kampanjen associerad med Stuxnet.
"Detta är en av de bästa jag har sett. Tidigare var den bästa APT-gruppen den bakom Flame, men nu som ändrar min åsikt på grund av sättet att hantera infrastrukturen och hur de reagerar på hot och hastigheten på reaktion och professionalism, Sade Raiu. Masken går "bortom Flame och allt annat vi har sett hittills."
Operationen gick oupptäckt i cirka fem år och påverkade 380 offren av mer än 1 000 riktade IP-adresser som tillhör regeringsenheter, diplomatiska kontor och ambassader, forskningsinstitut och aktivister. Listan över drabbade länder är lång, inklusive Algeriet, Argentina, Belgien, Bolivia, Brasilien, Kina, Colombia, Costa Rica, Kuba, Egypten, Frankrike, Tyskland, Gibraltar, Guatemala, Iran, Irak, Libyen, Malaysia, Mexiko, Marocko, Norge, Pakistan, Polen, Sydafrika, Spanien, Schweiz, Tunisien, Turkiet, Storbritannien, USA och Venezuela.
Packa upp masken
Masken, även kallad Careto, stjäl dokument och krypteringsnycklar, konfigurationsinformation för Virtual Private Networks (VPN), nycklar för Secure Shell (SSH) och filer för Remote Desktop Client. Den torkar också spår av sina aktiviteter från loggen. Kaspersky Lab sa att skadlig programvara har en modulär arkitektur och stöder plug-ins och konfigurationsfiler. Det kan också uppdateras med nya moduler. Malware försökte också utnyttja en äldre version av Kasperskys säkerhetsprogram.
"Det försöker missbruka en av våra komponenter för att dölja, " sade Raiu.
Attacken börjar med spear-phishing-e-postmeddelanden med länkar till en skadlig URL som är värd för flera utnyttjningar innan de till slut levererar användarna till den legitima webbplats som det hänvisas till i meddelandekroppen. Vid denna tidpunkt har angriparna kontroll över den infekterade maskinens kommunikation.
Angripare använde ett utnyttjande som riktade sig mot en sårbarhet i Adobe Flash Player som låter angripare sedan kringgå sandlådan i Google Chrome. Sårbarheten utnyttjades först framgångsrikt under Pwn2Own-tävlingen på CanSecWest tillbaka 2012 av den franska sårbarhetsmäklaren VUPEN. VUPEN vägrade att avslöja detaljer om hur den utförde attacken och sa att de ville spara den för sina kunder. Raiu sa inte riktigt att utnyttjandet som användes i The Mask var samma som VUPEN: s, men bekräftade att det var samma sårbarhet. "Kanske någon som utnyttjar sig själva, " sade Raiu.
VUPEN tog till Twitter för att förneka att dess utnyttjande hade använts i den här operationen och sa: "Vårt officiella uttalande om #Mask: exploiten är inte vårt, förmodligen hittades det genom att skilja på patch som släppts av Adobe efter # Pwn2Own." Med andra ord jämförde angriparna den lappade Flash Player med den oöverträffade upplagan, drog ut skillnaderna och drog slaget av utnyttjandet.
Var är masken nu?
När Kaspersky publicerade en teaser av The Mask på sin blogg förra veckan började angriparna stänga av sin verksamhet, sade Raiu. Det faktum att angriparna kunde stänga av sin infrastruktur inom fyra timmar efter att Kaspersky publicerade teasern tyder på att attackerna var riktigt professionella, säger Jaime Blasco, forskningsdirektör på AlienVault Labs.
Medan Kaspersky Lab har stängt av kommandon och kontrollservrarna som den hittade i samband med operationen och Apple stänger av domänerna som är associerade med Mac-versionen av exploiten, tror Raiu att de bara är en "stillbild" av den övergripande infrastrukturen. "Jag misstänker att vi ser ett mycket smalt fönster i deras verksamhet, " sade Raiu.
Även om det är lätt att anta att eftersom det fanns kommentarer i koden på spanska att angriparna var från ett spansktalande land påpekade Raiu att angriparna lätt kunde ha använt ett annat språk som en röd flagga för att kasta utredarna utanför banan. Var är Mask nu? Vi vet bara inte.
