The Mask - una dintre cele mai mari operaţiuni de spionaj informatic din istorie

Kaspersky Lab a descoperit „The Mask” – una dintre cele mai avansate operaţiuni de spionaj cibernetic la nivel global descoperite până în prezent, datorită complexităţii setului de instrumente utilizate de către atacatori.

O nouă ameninţare: Atacatorii vorbitori de limbă spaniolă vizează instituţii guvernamentale, companii din domeniul energiei, petrolului şi gazelor şi alte victime foarte importante, prin intermediul unui set de instrumente malware mixte (cross-platform), se arată într-un comunicat remis adevarul.ro.

Echipa de cercetare a Kaspersky Lab a anunţat descoperirea „The Mask” (alias Careto), o ameninţare avansată, care a fost implicată în operaţiuni de spionaj cibernetic încă din 2007. Caracterul special al „The Mask” este dat de complexitatea setului de instrumente utilizate de către atacatori. Acesta include un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X şi Linux şi, probabil, versiuni pentru Android şi iOS (iPad/iPhone).

Ţintele principale sunt instituţii guvernamentale, birouri diplomatice şi ambasade, companii din domeniul energiei, petrolului şi gazelor, organizaţii de cercetare şi activişti. Victimele acestui atac cu ţinte specifice sunt din 31 de ţări din întreaga lume – din Orientul Mijlociu şi Europa până în Africa sau Americi.

Principalul obiectiv al atacatorilor este acela de a colecta informaţii cu caracter confidenţial din sistemele infectate. Acestea includ documente oficiale, dar şi diverse chei de criptare, configuraţii VPN, chei SSH (care au rolul de a identifica un utilizator sau un server SSH) şi fişiere RDP (utilizate de către Remote Desktop Client pentru a deschide automat o conexiune cu computerul rezervat).

Careto există de anul trecut

„Există o serie de motive pentru care credem că aceasta ar putea fi o campanie sponsorizată de către un stat”, a declarat Costin Raiu, Directorul Global Research and Analysis Team (GReAT) în cadrul Kaspersky Lab. „În primul rând, am observat un grad foarte înalt de profesionalism în ceea ce priveşte procedurile operaţionale ale grupului din spatele acestui atac. De la administrarea infrastructurii, închiderea operaţiunii, evitarea accesului persoanelor neautorizate prin intermediul regulilor de acces şi utilizarea ştergerii definitive (wiping) în locul ştergerii parţiale (deletion) a fişierelor de log. Această combinaţie face ca acest atacator să fie mai sofisticat chiar decât Duqu, fiind una dintre cele mai avansate ameninţări în acest moment. Acest nivel de sofisticare nu este normal pentru gupările de infractori cibernetici”, a încheiat Raiu.

Cercetătorii Kaspersky Lab au aflat de existenţa lui Careto anul trecut, când au observat tentative de a exploata o vulnerabilitate a produselor companiei, care fusese reparată cu cinci ani în urmă. Exploit-ul respectiv oferea malware-ului capacitatea de a evita detectarea. Desigur, această situaţie le-a atras atenţia şi astfel a început investigaţia.

Pentru victime, o infecţie cu Careto poate fi dezastruoasă. Careto interceptează toate canalele de comunicare şi colectează cele mai importante informaţii de pe dispozitivul victimei. Detectarea este extrem de dificilă datorită capacităţilor de rootkit foarte discrete, a funcţionalităţilor încorporate şi a modulelor suplimentare de spionaj cibernetic.

Principalele descoperiri:

• Autorii par să fie vorbitori nativi de limba spaniolă, o caracteristică foarte rară în atacurile APT. 
• Campania a fost activă timp de cel puţin cinci ani până în ianuarie 2014 (unele mostre ale Careto au fost compilate în 2007). În timpul investigaţiilor Kaspersky Lab, serverelor de  comandă şi  control au fost închise.
• Au fost detectate peste 380 de victime unice şi mai mult de 1000 de IP-uri. Infecţiile au fost observate în: Algeria, Argentina, Belgia, Bolivia, Brazilia, China, Columbia, Costa Rica, Cuba, Egipt, Franţa, Germania, Gibraltar, Guatemala, Iran, Irak, Libia, Malaysia, Mexic, Maroc, Norvegia, Pakistan, Polonia, Africa de Sud, Spania, Elveţia, Tunisia, Turcia, Regatul Unit, Statele Unite şi Venezuela.
• Complexitatea şi universalitatea setului de instrumente utilizate de către atacatori face ca această operaţiune de spionaj cibernetic să fie foarte specială. Aceasta presupune utilizarea unor exploit-uri foarte performante, un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X şi Linux şi, probabil, versiuni pentru Android şi iOS (iPad/iPhone). „The Mask” a iniţiat şi un atac personalizat împotriva produsele Kaspersky Lab. 
• Printre vectorii atacului, a fost utilizat cel puţin un exploit Adobe Flash Player (CVE-2012-0773). Acesta a fost creat pentru versiunile Plash Player mai vechi decât 10.3 şi 11.2. Acest exploit a fost descoperit pentru prima dată de către VUPEN şi a fost utilizat în 2012 pentru a ieşi din sandbox-ul Google Chrome, cu scopul de a câştiga concursul CanSecWest Pwn2Own.

Metode de infectare şi funcţionalitate

Potrivit raportului de analiză Kaspersky Lab, campania „The Mask” se bazează pe e-mail-uri de tip „spear-phising” cu link-uri către website-uri cu o componentă malware. Website-ul infectat conţine un număr de exploit-uri create pentru a–l infecta pe vizitator, în funcţie de configuraţia sistemului. În momentul infectării cu succes, website-ul infectat redirecţionează utilizatorul către site-ul legitim la care se făcea referire în e-mail, care poate fi YouTube sau un portal de ştiri. 

Este important de sublinat faptul că website-urile care folosesc exploit-uri nu infectează automat vizitatorii, în schimb, atacatorii stochează exploiturile in folder-e specifice ale website-ului, către care nu se face trimitere directă decât în e-mail-urile cu componentă malware. Uneori, atacatorii utilizează subdomenii pe website-urile cu exploit-uri, pentru a le face să pară mai autentice. Aceste subdomenii simulează subsecţiuni ale principalelor ziare din Spania şi ale unor publicaţii internaţionale, cum sunt, de exemplu, „The Guardian” şi „Washington Post”.

Malware-ul interceptează toate canalele de comunicare şi colectează cele mai importante informaţii din sistemele infectate. Careto este un sistem extrem de modular, folosindu-se de plugin-uri şi fişiere de configurare, care îi permit să îndeplinească un număr mare de funcţii. În plus faţă de funcţionalităţile încorporate, operatorii lui Careto ar putea să încarce module suplimentare care ar putea îndeplini orice sarcină cu caracter malware.