SG.hu·
Kiberkémkedési fenyegetést talált a Kaspersky Lab
A Kaspersky Lab az eszközkészlet bonyolultsága miatt minden idők egyik legfejlettebb támadásának nevezi a "The Mask"-ot. Ezzel a többplatformos malware-rel a spanyolul beszélő támadók kormányzati intézményeket, energia-, olaj- és gáztermelő vállalatokat, valamint más fontos szervezeteket támadnak.
A Kaspersky Lab biztonsági kutatócsoportja bejelentette a "The Mask" (másnéven Careto), egy fejlett, spanyol nyelvű fenyegetés felfedezését, amely legalább 2007 óta folytat globális kiberkémkedési kampányokat. A The Mask-ot a támadók által használt eszközkészlet bonyolultsága teszi különlegessé. A cég közleménye szerint ez egy kivételesen kifinomult malware-t, egy rootkitet, egy bootkitet, Mac OS X és Linux változatokat, valamint feltételezhetően Android és iOS (iPad/iPhone) verziókat tartalmaz.
A támadók fő célja érzékeny adatok összegyűjtése a megfertőzött rendszerekről. Ezek között megtalálhatók hivatali dokumentumok, különféle titkosítási kulcsok, VPN konfigurációk, SSH kulcsok (melyek egy felhasználó SSH szerveren való azonosítására szolgálnak) és RDP fájlok (a Remote Desktop Client által használatosak a fenntartott számítógéphez való automatikus csatlakozásra).
"Több ok miatt is úgy véljük, hogy ez egy ország által szponzorált kampány lehet. Először is igen magas fokú professzionalizmust érzékelünk a támadás mögött álló csoport tevékenységében. Ezek közé tartozik az infrastruktúrafelügyelet, a művelet lezárása, a kíváncsi szemek elkerülése hozzáférési szabályok révén, valamint a felülírás használata a naplófájlok törlése helyett. Mindezek együtt ezt az APT-t (fejlett állandó fenyegetést) a Duqu elé helyezik a kifinomultság tekintetében, a jelenleg tapasztalható egyik legfejlettebb fenyegetéssé téve azt," mondta Costin Raiu, a Kaspersky Lab globális kutatási és elemző csapatának (GReAT) igazgatója. "A működési biztonság ilyen szintje nem jellemző a kiberbűnöző csoportokra."
A társaság kutatói először tavaly észlelték a Careto tevékenységét, amikor azt tapasztalták, hogy kísérletek történtek egy, a vállalat termékeiben lévő, már öt éve kijavított sebezhetőség kihasználására. A kihasználó kód felismerés elleni védelemmel rendelkezett, ami felkeltette a kutatók érdeklődését, és elindult a vizsgálat. Az áldozatok számára a Careto-val való megfertőződés katasztrofális következményekkel járhat. A Careto lehallgatja az összes kommunikációs csatornát, és összegyűjti a legtöbb létfontosságú információt az áldozat gépéről. Az észlelés kivételesen nehéz a rejtőzködő toolkit képességek, a beépített funkcionalitás és a további kiberkémkedési modulok miatt.
A szakértők számára a szerzők spanyol anyanyelvűnek tűnnek, ami nagyon ritka az ATP támadások esetében. A kampány aktívan zajlott legalább öt éven keresztül 2014 januárjáig (egyes Careto minták 2007-ben készültek). A Kaspersky Lab vizsgálata közben a parancs és vezérlő (C&C) szervereket lekapcsolták. Több mint 380 egyedi áldozatot találtak. (Algéria, Argentína, Belgium, Bolívia, Brazília, Kína, Kolumbia, Costa Rica, Kuba, Egyiptom, Franciaország, Németország, Gibraltár, Guatemala, Irán, Irak, Liba, Malajzia, Mexikó, Marokkó, Norvégia, Pakisztán, Lengyelország, Dél-Afrika, Spanyolország, Svájc, Tunézia, Törökország, Egyesült Királyság, Egyesült Államok és Venezuela.)
A jellemzők közé tartozik a fontos sebezhetőségek kihasználása, egy kivételes fejlett rosszindulatú kód, egy rootkit, egy bootkit, a Mac OS X és Linux változatok, valamint feltételezhetően az Android és iOS (iPad/iPhone) verziók. A The Mask kifejezetten a Kaspersky Lab termékei ellen is indított támadást. A támadásoknál legalább egy Adobe Flash Player sebezhetőséget (CVE-2012-0773) kihasználtak. A kihasználó kódot a 10.3 és11.2 Flash Player verziók előtti kiadásokhoz tervezték. Ezt először a VUPEN fedezte fel, és 2012-ben a Google Chrome sandbox-ából való kimenekülésre használták a CanSecWest Pwn2Own verseny megnyeréséhez.
A kutatási jelentés szerint a The Mask kampány célzott adathalász e-maileket használ, amelyek egy rosszindulatú webhelyre vezető linkeket tartalmaznak. A webhely több kihasználó kódot tartalmaz a látogató gépének megfertőzésére, amelyek a rendszerkonfigurációtól függően kerülnek bevetésre. A sikeres megfertőzést követően a rosszindulatú webhely átirányítja a felhasználót az e-mailben hivatkozott jóindulatú weboldalra, amely lehet egy YouTube videó vagy egy hírportál. A rosszindulatú webhelyek nem fertőzik meg automatikusan a látogatókat. A kihasználó kódot a támadók a webhely speciális mappáiban tárolják, amelyekre közvetlenül csak a rosszindulatú e-mailekben hivatkoznak. Egyes esetekben a támadók aldoméneket használnak ezeken a webhelyeken, hogy azok még valódibbnak tűnjenek. Ezek az aldomének vezető spanyolországi és nemzetközileg ismert (például a Washington Post és a The Guardian) újságok rovatait szimulálják.
A rosszindulatú kód lehallgatja az összes kommunikációs csatornát, és összegyűjti a legtöbb létfontosságú információt az áldozat gépéről. Az észlelés kivételesen nehéz a rejtőzködő toolkit képességek miatt. A Careto egy nagymértékben moduláris rendszer, támogatja a plugin-ek és konfigurációs állományok használatát, melyek révén sokféle funkció megvalósítására képes. A beépített funkcionalitás kibővítésére a Careto üzemeltetői további modulokat tölthetnek fel, amelyekkel bármilyen rosszindulatú tevékenységet végrehajthatnak.
A Kaspersky Lab biztonsági kutatócsoportja bejelentette a "The Mask" (másnéven Careto), egy fejlett, spanyol nyelvű fenyegetés felfedezését, amely legalább 2007 óta folytat globális kiberkémkedési kampányokat. A The Mask-ot a támadók által használt eszközkészlet bonyolultsága teszi különlegessé. A cég közleménye szerint ez egy kivételesen kifinomult malware-t, egy rootkitet, egy bootkitet, Mac OS X és Linux változatokat, valamint feltételezhetően Android és iOS (iPad/iPhone) verziókat tartalmaz.
A támadók fő célja érzékeny adatok összegyűjtése a megfertőzött rendszerekről. Ezek között megtalálhatók hivatali dokumentumok, különféle titkosítási kulcsok, VPN konfigurációk, SSH kulcsok (melyek egy felhasználó SSH szerveren való azonosítására szolgálnak) és RDP fájlok (a Remote Desktop Client által használatosak a fenntartott számítógéphez való automatikus csatlakozásra).
"Több ok miatt is úgy véljük, hogy ez egy ország által szponzorált kampány lehet. Először is igen magas fokú professzionalizmust érzékelünk a támadás mögött álló csoport tevékenységében. Ezek közé tartozik az infrastruktúrafelügyelet, a művelet lezárása, a kíváncsi szemek elkerülése hozzáférési szabályok révén, valamint a felülírás használata a naplófájlok törlése helyett. Mindezek együtt ezt az APT-t (fejlett állandó fenyegetést) a Duqu elé helyezik a kifinomultság tekintetében, a jelenleg tapasztalható egyik legfejlettebb fenyegetéssé téve azt," mondta Costin Raiu, a Kaspersky Lab globális kutatási és elemző csapatának (GReAT) igazgatója. "A működési biztonság ilyen szintje nem jellemző a kiberbűnöző csoportokra."
A társaság kutatói először tavaly észlelték a Careto tevékenységét, amikor azt tapasztalták, hogy kísérletek történtek egy, a vállalat termékeiben lévő, már öt éve kijavított sebezhetőség kihasználására. A kihasználó kód felismerés elleni védelemmel rendelkezett, ami felkeltette a kutatók érdeklődését, és elindult a vizsgálat. Az áldozatok számára a Careto-val való megfertőződés katasztrofális következményekkel járhat. A Careto lehallgatja az összes kommunikációs csatornát, és összegyűjti a legtöbb létfontosságú információt az áldozat gépéről. Az észlelés kivételesen nehéz a rejtőzködő toolkit képességek, a beépített funkcionalitás és a további kiberkémkedési modulok miatt.
A szakértők számára a szerzők spanyol anyanyelvűnek tűnnek, ami nagyon ritka az ATP támadások esetében. A kampány aktívan zajlott legalább öt éven keresztül 2014 januárjáig (egyes Careto minták 2007-ben készültek). A Kaspersky Lab vizsgálata közben a parancs és vezérlő (C&C) szervereket lekapcsolták. Több mint 380 egyedi áldozatot találtak. (Algéria, Argentína, Belgium, Bolívia, Brazília, Kína, Kolumbia, Costa Rica, Kuba, Egyiptom, Franciaország, Németország, Gibraltár, Guatemala, Irán, Irak, Liba, Malajzia, Mexikó, Marokkó, Norvégia, Pakisztán, Lengyelország, Dél-Afrika, Spanyolország, Svájc, Tunézia, Törökország, Egyesült Királyság, Egyesült Államok és Venezuela.)
A jellemzők közé tartozik a fontos sebezhetőségek kihasználása, egy kivételes fejlett rosszindulatú kód, egy rootkit, egy bootkit, a Mac OS X és Linux változatok, valamint feltételezhetően az Android és iOS (iPad/iPhone) verziók. A The Mask kifejezetten a Kaspersky Lab termékei ellen is indított támadást. A támadásoknál legalább egy Adobe Flash Player sebezhetőséget (CVE-2012-0773) kihasználtak. A kihasználó kódot a 10.3 és11.2 Flash Player verziók előtti kiadásokhoz tervezték. Ezt először a VUPEN fedezte fel, és 2012-ben a Google Chrome sandbox-ából való kimenekülésre használták a CanSecWest Pwn2Own verseny megnyeréséhez.
A kutatási jelentés szerint a The Mask kampány célzott adathalász e-maileket használ, amelyek egy rosszindulatú webhelyre vezető linkeket tartalmaznak. A webhely több kihasználó kódot tartalmaz a látogató gépének megfertőzésére, amelyek a rendszerkonfigurációtól függően kerülnek bevetésre. A sikeres megfertőzést követően a rosszindulatú webhely átirányítja a felhasználót az e-mailben hivatkozott jóindulatú weboldalra, amely lehet egy YouTube videó vagy egy hírportál. A rosszindulatú webhelyek nem fertőzik meg automatikusan a látogatókat. A kihasználó kódot a támadók a webhely speciális mappáiban tárolják, amelyekre közvetlenül csak a rosszindulatú e-mailekben hivatkoznak. Egyes esetekben a támadók aldoméneket használnak ezeken a webhelyeken, hogy azok még valódibbnak tűnjenek. Ezek az aldomének vezető spanyolországi és nemzetközileg ismert (például a Washington Post és a The Guardian) újságok rovatait szimulálják.
A rosszindulatú kód lehallgatja az összes kommunikációs csatornát, és összegyűjti a legtöbb létfontosságú információt az áldozat gépéről. Az észlelés kivételesen nehéz a rejtőzködő toolkit képességek miatt. A Careto egy nagymértékben moduláris rendszer, támogatja a plugin-ek és konfigurációs állományok használatát, melyek révén sokféle funkció megvalósítására képes. A beépített funkcionalitás kibővítésére a Careto üzemeltetői további modulokat tölthetnek fel, amelyekkel bármilyen rosszindulatú tevékenységet végrehajthatnak.