A Kaspersky Lab biztonsági kutatócsoportja bejelentette a The Mask” (más néven Careto), egy fejlett, spanyol nyelvű fenyegetés felfedezését, amely nagy valószínűséggel 2007 óta folytat világméretű kiberkémkedési kampányokat. A The Maskot a támadók által használt eszközkészlet bonyolultsága teszi különlegessé: egy-egy kivételesen kifinomult malware-t, rootkitet, bootkitet, Mac OS X- és Linux-változatokat, valamint feltételezhetően Android és iOS (iPad/iPhone) -verziókat tartalmaz.
A támadók fő célja érzékeny adatok összegyűjtése a megfertőzött rendszerekről. Közöttük megtalálhatók hivatali dokumentumok, titkosítási kulcsok, VPN-konfigurációk, SSH-kulcsok (melyek használók SSH-szerveren azonosítására szolgálnak) és RDP-fájlok (a Remote Desktop Client által használatosak a fenntartott számítógéphez való automatikus csatlakozásra).
„Több ok miatt is úgy véljük, hogy ez egy ország által szponzorált kampány lehet. Először is igen magas fokú szaktudást érzékelünk a támadás mögött álló csoport tevékenységében. Ezek közé tartozik az infrastruktúra-felügyelet, a művelet lezárása, a kíváncsi szemek elkerülése hozzáférési szabályok révén, valamint a felülírás használata a naplófájlok törlése helyett. Mindezek együtt ezt az APT-t (fejlett állandó fenyegetést) a Duqu elé helyezik a kifinomultság tekintetében, a jelenleg tapasztalható egyik legfejlettebb fenyegetéssé téve azt” – mondta Costin Raiu, a Kaspersky Lab globális kutatási és elemző csapatának (GReAT) igazgatója. „A működési biztonság ilyen szintje nem jellemző a kiberbűnöző csoportokra.”
A Kaspersky Lab kutatói először tavaly észlelték a Careto tevékenységét, amikor azt tapasztalták, hogy kísérletek történtek a vállalat termékeiben lévő, már öt éve elhárított sebezhetőség kihasználására. A kihasználó kód felismerés elleni védelemmel rendelkezett, ami felkeltette a kutatók érdeklődését, és elindult a vizsgálat.
Az áldozatok számára a Caretoval való megfertőződés katasztrofális következményekkel járhat, mert lehallgatja az összes kommunikációs csatornát, és összegyűjti a legtöbb létfontosságú információt az áldozat gépéről. Az észlelés kivételesen nehéz a rejtőzködő toolkit-képességek, a beépített funkcionalitás és a további kiberkémkedési modulok miatt.
Fő megállapítások:
– A szerzők spanyol anyanyelvűnek látszanak, ami nagyon ritka az ATP-támadások esetében.
– A kampány aktívan zajlott legalább öt éven keresztül 2014 januárjáig (egyes Careto-minták még 2007-ben készültek). A Kaspersky Lab vizsgálata közben a parancs és vezérlő (C&C) szervereket lekapcsolták.
– Több mint 380 egyedi áldozatot találtak a következő országokban: Algéria, Argentína, Belgium, Bolívia, Brazília, Kína, Kolumbia, Costa Rica, Kuba, Egyiptom, Franciaország, Németország, Gibraltár, Guatemala, Irán, Irak, Liba, Malajzia, Mexikó, Marokkó, Norvégia, Pakisztán, Lengyelország, Dél-Afrika, Spanyolország, Svájc, Tunézia, Törökország, Egyesült Királyság, Egyesült Államok és Venezuela.
– A támadók által használt eszközkészlet bonyolultsága és egyetemessége rendkívül különlegessé teszi ezt a kiberkémkedési kampányt. A jellemzők közé tartozik a fontos sebezhetőségek kihasználása, egy-egy kivételesen fejlett, rosszindulatú kód, rootkit, bootkit, a Mac OS X- és Linux-változatok, valamint feltételezhetően Android- és iOS (iPad/iPhone) -verziók. A The Mask célzottan a Kaspersky Lab termékei ellen is indított támadást.
– A támadásoknál legalább egy Adobe Flash Player sebezhetőséget (CVE-2012-0773) kihasználtak. A kihasználó kódot a 10.3 és 11.2 Flash Player verziók előtti kiadásokhoz tervezték. Ezt először a VUPEN fedezte fel, és 2012-ben a Google Chrome sandbox-ából való kimenekülésre használták a CanSecWest Pwn2Own verseny megnyeréséhez.
Fertőzési módszerek és funkcionalitás
A Kaspersky Lab kutatási jelentése szerint a The Mask-kampány célzott adathalász e-maileket használ, amelyek egy rosszindulatú webhelyre vezető linkeket tartalmaznak. A webhely több kihasználó kódot tartalmaz a látogató gépének megfertőzésére, amelyeket a rendszer-konfigurációtól függően vetnek be. A sikeres megfertőzést követően a rosszindulatú webhely átirányítja a használót az e-mailben hivatkozott jóindulatú weboldalra, amely lehet egy YouTube videó vagy egy hírportál.
A rosszindulatú webhelyek nem fertőzik meg automatikusan a látogatókat. A kihasználó kódot a támadók a webhely speciális mappáiban tárolják, amelyekre közvetlenül csak a rosszindulatú e-mailekben hivatkoznak. Egyes esetekben a támadók al-doméneket használnak ezeken a webhelyeken, hogy még valódibbnak látszódjanak. Ezek az al-domének vezető spanyolországi és nemzetközileg ismert (például a Washington Post és a The Guardian) újságok rovatait szimulálják.
A rosszindulatú kód lehallgatja az összes kommunikációs csatornát, és összegyűjti a legtöbb létfontosságú információt az áldozat gépéről. Az észlelés kivételesen nehéz a rejtőzködő toolkit-képességek miatt. A Careto nagymértékben moduláris rendszer, támogatja a pluginek és konfigurációs állományok használatát, melyek révén sokféle funkció megvalósítására képes. A beépített funkcionalitás kibővítésére a Careto üzemeltetői további modulokat tölthetnek fel, amelyekkel bármilyen rosszindulatú tevékenységet végrehajthatnak.
Jó hír: a Kaspersky Lab termékei észlelik és eltávolítják a The Mask/Careto malware valamennyi ismert változatát.