Video: Hacks to STOP LOSING your face mask and FIX those tight EAR LOOPS! (Oktober 2024)
Kaspersky Lab-forskere avdekket en cyber-spionasjeoperasjon mot myndigheter, energi, olje og gass organisasjoner rundt om i verden ved å bruke det mest sofistikerte verktøyet som er sett til dags dato. Selskapet sa at operasjonen hadde alle øremerkene til å være et nasjonalstatsangrep.
Costin Raiu, direktør for det globale forsknings- og analyseteamet ved Kaspersky Lab, og teamet hans avslørte detaljene bak "The Mask" på Kaspersky Lab Security Analysts Summit på mandag, og beskrev hvordan operasjonen brukte et rootkit, bootkit og malware designet for Windows, Mac OS X og Linux. Det kan til og med være Android- og iOS-versjoner av skadelig programvare som brukes, sa teamet. Av alle indikatorer er Mask en elite nasjonalstatskampanje, og strukturen er enda mer sofistikert enn Flame-kampanjen knyttet til Stuxnet.
"Dette er noe av det beste jeg har sett. Tidligere var den beste APT-gruppen den bak Flame, men som nå endrer min mening på grunn av måten å administrere infrastrukturen og måten de reagerer på trusler og reaksjonshastigheten og profesjonaliteten, "Sa Raiu. Masken går "utover Flame og alt annet vi har sett så langt."
Operasjonen ble uoppdaget i omtrent fem år og påvirket 380 ofre for mer enn 1000 målrettede IP-adresser som tilhørte regjeringsenheter, diplomatiske kontorer og ambassader, forskningsinstitutter og aktivister. Listen over berørte land er lang, inkludert Algerie, Argentina, Belgia, Bolivia, Brasil, Kina, Colombia, Costa Rica, Cuba, Egypt, Frankrike, Tyskland, Gibraltar, Guatemala, Iran, Irak, Libya, Malaysia, Mexico, Marokko, Marokko, Norge, Pakistan, Polen, Sør-Afrika, Spania, Sveits, Tunisia, Tyrkia, Storbritannia, USA og Venezuela.
Pakk ut masken
Masken, også kalt Careto, stjeler dokumenter og krypteringsnøkler, konfigurasjonsinformasjon for Virtual Private Networks (VPN), nøkler for Secure Shell (SSH) og filer for Remote Desktop Client. Den tørker også spor av sine aktiviteter fra loggen. Kaspersky Lab sa at skadelig programvare har en modulær arkitektur og støtter plugins og konfigurasjonsfiler. Det kan også oppdateres med nye moduler. Den skadelige programvaren prøvde også å utnytte en eldre versjon av Kasperskys sikkerhetsprogramvare.
"Det prøver å misbruke en av komponentene våre for å skjule, " sa Raiu.
Angrepet begynner med spyd-phishing-e-poster med lenker til en ondsinnet URL som er vert for flere utnyttelser, før de til slutt leverer brukerne til det legitime nettstedet det er referert til i meldingsorganet. På dette tidspunktet har angriperne kontroll over infiserte maskiners kommunikasjon.
Angripere brukte en utnyttelse som målrettet en sårbarhet i Adobe Flash Player som lar angripere deretter omgå sandkassen i Google Chrome. Sårbarheten ble først utnyttet med suksess under Pwn2Own-konkurransen på CanSecWest tilbake i 2012 av den franske sårbarhetsmegleren VUPEN. VUPEN nektet å røpe detaljer om hvordan det utførte angrepet, og sa at de ønsket å redde det for kundene sine. Raiu sa ikke direkte at utnyttelsen som ble brukt i The Mask var den samme som VUPENs, men bekreftet at det var den samme sårbarheten. "Kanskje noen utnytter seg selv, " sa Raiu.
VUPEN tok til Twitter for å nekte for at utnyttelsen hadde blitt brukt i denne operasjonen, og sa: "Vår offisielle uttalelse om #Mask: utnyttelsen er ikke vår, sannsynligvis ble den funnet ved å diffre lappen som ble utgitt av Adobe etter # Pwn2Own." Med andre ord sammenlignet angriperne den lappede Flash Player med den uprøvde utgaven, trakk ut forskjellene og deducerte utnyttelsens art.
Hvor er masken nå?
Da Kaspersky la ut en teaser av The Mask på bloggen sin i forrige uke, begynte angripere å avslutte driften, sa Raiu. At angripere klarte å stenge infrastrukturen sin i løpet av fire timer etter at Kaspersky publiserte teaseren, indikerer at angriperne var veldig profesjonelle, sa Jaime Blasco, forskningsdirektør ved AlienVault Labs.
Mens Kaspersky Lab har lagt ned kommando- og kontrollserverne den fant knyttet til operasjonen og Apple stenger av domenene som er tilknyttet Mac-versjonen av utnyttelsen, mener Raiu at de bare er et "øyeblikksbilde" av den totale infrastrukturen. "Jeg mistenker at vi ser et veldig smalt vindu inn i deres operasjon, " sa Raiu.
Selv om det er lett å anta at fordi det var kommentarer i koden på spansk at angriperne var fra et spansktalende land, påpekte Raiu at angriperne lett kunne ha brukt et annet språk som rødt flagg for å kaste etterforskere utenfor banen. Hvor er masken nå? Vi vet bare ikke.
