Видео: ДвернаÑ? охота (Выломаные двери) (Октября 2024)
Исследователи «Лаборатории Касперского» раскрыли операцию кибершпионажа против правительственных, энергетических, нефтяных и газовых организаций во всем мире, используя самый сложный набор инструментов, которые когда-либо существовали. Компания заявила, что у операции были все признаки того, чтобы быть нападением национального государства.
Костин Райу, директор глобальной группы по исследованиям и анализу в Лаборатории Касперского, и его команда раскрыли подробности «Маски» на саммите аналитиков «Лаборатории Касперского» в понедельник, рассказав, как в этой операции использовались руткит, буткит и вредоносные программы, разработанные для Windows, Mac OS X и Linux. Команда разработчиков может даже использовать версии вредоносных программ для Android и iOS. По всем показателям «Маска» - это элитная национально-государственная кампания, а ее структура еще более сложна, чем кампания «Пламя», связанная со Stuxnet.
«Это одна из лучших, которые я видел. Раньше лучшей группой APT была та, которая стояла за Flame, но теперь это меняет мое мнение из-за того, как управлять инфраструктурой и как они реагируют на угрозы, а также быстротой реакции и профессионализмом., Сказал Райу. Маска выходит за пределы Пламени и всего, что мы видели до сих пор.
Эта операция оставалась незамеченной в течение примерно пяти лет и затронула 380 жертв из более чем 1000 целевых IP-адресов, принадлежащих правительственным организациям, дипломатическим офисам и посольствам, исследовательским институтам и активистам. Список пострадавших стран длинный, включая Алжир, Аргентину, Бельгию, Боливию, Бразилию, Китай, Колумбию, Коста-Рику, Кубу, Египет, Францию, Германию, Гибралтар, Гватемалу, Иран, Ирак, Ливию, Малайзию, Мексику, Марокко, Норвегия, Пакистан, Польша, Южная Африка, Испания, Швейцария, Тунис, Турция, Великобритания, США и Венесуэла.
Распаковка маски
Маска, также называемая Careto, крадет документы и ключи шифрования, информацию о конфигурации для виртуальных частных сетей (VPN), ключи для Secure Shell (SSH) и файлы для клиента удаленного рабочего стола. Он также стирает следы своей деятельности из журнала. Лаборатория Касперского говорит, что вредоносная программа имеет модульную архитектуру и поддерживает плагины и файлы конфигурации. Это может также быть обновлено с новыми модулями. Вредоносная программа также пыталась использовать старую версию программного обеспечения безопасности Касперского.
«Он пытается злоупотребить одним из наших компонентов, чтобы скрыть», - сказал Райу.
Атака начинается с фишинг-писем со ссылками на вредоносный URL-адрес, на котором размещено несколько эксплойтов, прежде чем в конечном итоге доставить пользователей на законный сайт, указанный в теле сообщения. На этом этапе злоумышленники контролируют связь с зараженной машиной.
Злоумышленники использовали эксплойт, нацеленный на уязвимость в Adobe Flash Player, которая позволяет злоумышленникам обойти «песочницу» в Google Chrome. Впервые эта уязвимость была успешно использована во время конкурса Pwn2Own на CanSecWest еще в 2012 году французским брокером уязвимостей VUPEN. VUPEN отказался раскрыть детали того, как он совершил атаку, заявив, что они хотят сохранить это для своих клиентов. Raiu не сказал, что эксплойт, использованный в The Mask, был таким же, как VUPEN, но подтвердил, что это та же самая уязвимость. «Может быть, кто-то сам себя эксплуатирует», - сказал Райу.
VUPEN обратился к Twitter, чтобы отрицать, что его эксплойт использовался в этой операции, говоря: «Наше официальное заявление о #Mask: эксплойт не наш, вероятно, он был найден путем различий патча, выпущенного Adobe после # Pwn2Own». Другими словами, злоумышленники сравнили исправленный Flash Player с непатентованным выпуском, выяснили различия и выяснили характер эксплойта.
Где сейчас маска?
По словам Райу, когда на прошлой неделе Касперский разместил тизер «Маски» в своем блоге, злоумышленники начали закрывать свои операции. Тот факт, что злоумышленники смогли закрыть свою инфраструктуру в течение четырех часов после того, как Kaspersky опубликовал тизер, указывает на то, что злоумышленники были действительно профессиональны, говорит Хайме Бласко, директор по исследованиям в AlienVault Labs.
В то время как «Лаборатория Касперского» закрыла серверы управления и контроля, связанные с этой операцией, а Apple закрыла домены, связанные с версией эксплойта для Mac, Raiu считает, что это всего лишь «снимок» всей инфраструктуры. «Я подозреваю, что мы видим очень узкое окно в их работе», - сказал Райу.
Хотя легко предположить, что, поскольку в коде на испанском языке были комментарии о том, что злоумышленники были из испаноязычной страны, Раю отметил, что злоумышленники могли легко использовать другой язык в качестве красного флага, чтобы сбить следователей с пути. Где сейчас Маска? Мы просто не знаем.
