Hlavním cílem útočníků je sběr citlivých dat z infikovaných systémů, včetně dokumentů, řady šifrovacích klíčů, konfigurací VPN, SSH klíčů (sloužících jako způsob identifikace uživatele na SSH serveru) a souborů RDP (využitý klientem vzdálené plochy k automatickému navázání spojení s rezervovaným počítačem).
„Máme několik důvodů se domnívat, že jde kampaň, za níž stojí nějaký stát. Pozorujeme tu vysokou profesionální úroveň. Od správy infrastruktury, ukončení činnosti, vyhýbaní se sledování pomocí přístupových pravidel a kompletním odstraněním souborů protokolu místo pouhého smazání. To vše staví tuto APT skupinu před Duqu z hlediska sofistikovanosti, což z ní dělá tu nejvyspělejší hrozbu současnosti,“ řekl Costin Raiu, šéf analytického týmu (Global Research and Analysis Team GReAT) Kaspersky Lab. „Taková úroveň zabezpečení operací není pro kybernetické kriminální skupiny běžná.“
Poprvé narazili analytici Kaspersky Lab na Careto minulý rok, kdy zpozorovali pokusy o zneužití zranitelností, které byly opraveny už před pěti lety. Toto zneužití poskytovalo malwaru možnost uniknout detekci a upoutalo pozornost analytiků. Začalo tedy vyšetřování. Pro oběti může být infekce Maskou katastrofální. Malware pronikne do všech komunikačních kanálů a sbírá životně důležité informace z přístrojů napadené oběti. Odhalení je přitom extrémně složité kvůli schopnosti utajení rootkitu, zabudovaných funkcí a přídavných modulů kybernetické špionáže.
Hlavní nálezy:
- Autoři se zdají být španělskými rodilými mluvčími, což bývá u APT útoků vzácné.
- Kampaň byla aktivní minimálně v posledních pěti letech až do ledna 2014 (některé vzorky Careta byly sestaveny už v roce 2007). Během vyšetřování Kaspersky Lab byly C&C (kontrolní a ovládací servery) vypnuty. Mimochodem, dle analýzy Kaspersky Lab komunikovaly C&C servery i přes některé hostitelské služby v Česku (viz strana 29 ve zprávě).
- Kaspersky Lab nalezla přes 380 unikátních obětí mezi více než tisícovkou IP adres v těchto zemích: Alžírsko, Argentina, Belgie, Bolivie, Brazílie, Čína, Egypt, Francie, Gibraltar, Guatemala, Írán, Irák, Jižní Afrika, Libye, Kolumbie, Kostarika, Kuba, Malajsie, Mexiko, Maroko, Německo, Norsko, Pákistán, Polsko, Španělsko, Švýcarsko, Tunis, Turecko, USA, Velká Británie a Venezuela.
- Složitost a univerzálnost sady nástrojů užívaných útočníky činí tuto kybernetickou špionáž velice výjimečnou. Mezi tyto nástroje patří využití vysoce sofistikovaného malwaru, rootkitu, bootkitu, verzi pro Mac OS a Linux a možná také pro Android a iOS (iPady a iPhony). Maska provedla také cílený útok na produkty Kaspersky Lab.
- Mezi nástroje útoku patřil minimálně jeden exploit pro Adobe Flash Player (CVE-2012-0773) vytvořený pro verze Flash Playeru před 10.3 a 11.2. Původně jej objevil VUPEN a byl využit v roce 2012 k úniku před sandboxem Google Chrome pro výhru v soutěži CanSecWest Pwn2Own.
Metody infekce a funkce
Kampaň Maska spoléhá na phishingové e-maily s odkazy na škodlivé stránky. Ty obsahují řadu vzorků malwaru navrženého k infikování návštěvníka, v závislosti na konfiguraci systému. Po úspěšném infikování přesměruje škodlivá stránka uživatele na neškodnou stránku zmíněnou v e-mailu, což mohl být film na YouTube nebo zpravodajský portál.
Je důležité poznamenat, že stránky návštěvníka neinfikují automaticky. Útočníci malware místo toho uchovávají v určitých složkách na webové stránce, na něž se nikde přímo neodkazuje vyjma phishingových e-mailů. Někdy jsou útočníci schováni za poddoménu na škodlivé stránce, takže se zdají legitimnějšími. Tyto podstránky imitují oddíly hlavních španělských a dalších mezinárodních deníků, například Guardianu nebo Washington Postu.
Malware se napojí na komunikační kanály a sbírá nejdůležitější informace z infikovaného systému. Careto je vysoce modulární systém. Podporuje pluginy a konfigurační soubory, což mu umožňuje provádět velké množství operací. Kromě zabudovaných funkcí mohou jeho operátoři nahrát přídavné moduly, které mohou provádět prakticky jakýkoliv zákeřný úkol.Produkty Kaspersky Lab odhalí a odstraní všechny známé verze malwaru Maska/Careto. Plná zpráva o Masce naleznete zde nebo na blogu Kaspersky Lab Securelist.
jenom jsem ten váš článek prolít, protože se zdá, že jste jediní, kdo o tom česky píše, ale zdá se, že byste snad ani psát neměli.
viz:
—-*-
On Monday, Chaouki Bekrar, CEO of VUPEN, said that the exploit used by the Mask crew was not the one developed by VUPEN.
“The exploit is not our, probably it was found by diffing the patch released by Adobe after Pwn2Own,” Bekrar wrote on Twitter.
—–
vs
—
Mezi nástroje útoku patřil minimálně jeden exploit pro Adobe Flash Player (CVE-2012-0773) vytvořený pro verze Flash Playeru před 10.3 a 11.2. Původně jej objevil VUPEN a byl využit v roce 2012 k úniku před sandboxem Google Chrome pro výhru v soutěži CanSecWest Pwn2Own.
—
už to chápu, vy jste jen překládali the wired. se sluší uvést zdroje, jestli to nevíte…
aha, to se omlouvám, ten začátek jsem nečet. klidně mě smažte.