380 celów padło ofiarą złośliwego oprogramowania The Mask

The Mask (hiszp. Careto) to zaawansowane, szkodliwe oprogramowanie zaangażowane w ogólnoświatowe operacje cyberszpiegowskie, istniejące co najmniej od 2007 roku, wykryte przez specjalistów z Kaspersky Lab. Co najmniej 380 ofiar zlokalizowana w 31 krajach – od Bliskiego Wschodu i Europy po Afrykę i Ameryki. Na celowniku „Maski” znalazły się instytucje rządowe, placówki dyplomatyczne, ambasady, organizacje badawcze, aktywiści oraz firmy z branży energetycznej.

Celem było gromadzenie poufnych danych, takich jak dokumenty, klucze szyfrowania, konfiguracje VPN, klucze SSH oraz pliki RDP, wykorzystywane podczas używania zdanego pulpitu. Jak dochodzi do zainfekowania komputera? „The Mask” wykorzystuje e-maile phishingowe zawierające odnośniki do szkodliwych stron internetowych. Czasem stosowane były subdomeny popularnych portali, zawierające exploity. Careto przechwytuje wszystkie kanały komunikacji i zbiera ważne informacje. Ze względu na funkcje ukrywania oraz wbudowane moduły cyberszpiegowskie jego wykrycie jest trudne.

„Kilka rzeczy sugeruje, że możemy mieć do czynienia z kolejną kampanią sponsorowaną przez państwo. Po pierwsze, procedury operacyjne stojącej za tym atakiem grupy cechuje bardzo wysoki poziom profesjonalizmu. Od zarządzania infrastrukturą, zamykania operacji, ukrywania się po reguły dostępu i czyszczenie zamiast usuwania plików dziennika zdarzeń. To wszystko sprawia, że omawiany atak wyprzedza Duqu pod względem wyrafinowania, stanowiąc obecnie jedno z najbardziej zaawansowanych znanych zagrożeń” – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (ang. GReAT) z Kaspersky Lab. „Ten poziom bezpieczeństwa operacyjnego nie jest zwykle spotykany w przypadku grup cybernetycznych” – dodał ekspert.

Badacze Kaspersky Lab odkryli Maskę w zeszłym roku, gdy zauważono próby wykorzystania załatanej 5-lat temu luki. Dochodzenie naprowadziło na trop zaawansowanego oprogramowania, zawierającego wersję dla środowisk Windows, OS X, Linux oraz prawdopodobnie na Androida i iOSa. Pod względem wektorów ataku wykorzystano przynajmniej jeden exploit dla Adobe Flash Playera (CVE-2012-0773), który powstał dla tej aplikacji w wersjach starszych niż 10.3 i 11.2. Exploit ten został pierwotnie wykryty przez VUPEN i wykorzystany w 2012 r. do obejścia piaskownicy w przeglądarce Google Chrome w celu wygrania konkurencji Pwn2Own (CanSecWest).

Źródło: Kaspersky Lab