En af de hidtil mest avancerede globale cyberspionagekampagner bringes nu frem i lyset. ‘The Mask’ benytter sig af en særlig kompleks værktøjskasse til at angribe statslige institutioner, energi-, olie- og gasvirksomheder og andre højt profilerede ofre via et stykke malware, som opererer på tværs af platforme.
11-02-2014 – Sikkerhedseksperterne hos Kaspersky Lab kan i dag rapportere opdagelsen af ’The Mask’ (på spansk: ‘Careto’), som er et avanceret ‘spansktalende’ internetangreb, der har været involveret i en global cyberspionagekampagne siden 2007. Der er tale om et hidtil uset trusselsbillede i APT-kategorien (Advanced Persistent Threat). Det, der gør ‘The Mask’ unik, er kompleksiteten af den teknik, som de cyberkriminelle anvender. Der er tale om en sprængfarlig cocktail, der består af en yderst sofistikeret malware, et rootkit, et bootkit, både Mac OS X og Linux-versioner samt eventuelt versioner til Android og iOS (iPad / iPhone).
De primære mål er statslige institutioner, diplomatiske kontorer og ambassader, energi-, olie- og gasselskaber samt forskningsorganisationer og aktivister. Ofrene for disse målrettede angreb er blevet fundet i 31 lande verden over – fra Mellemøsten og Europa til Afrika og Amerika.
Stjæler følsomme informationer
Hovedformålet med angrebet er at indsamle følsomme data fra inficerede systemer. Bagmændene går efter dokumenter og adgangsinformationer for at kunne udnytte systemer og opsnappe kritiske informationer. Dette omfatter officedokumenter, forskellige krypteringsnøgler, VPN-konfigurationer, SSH-nøgler (som identificerer en bruger på en SSH-server) og RDP-filer (bruges af fjernopkoblingen til at åbne forbindelse til brugerens computer).
Statssponsoreret it-angreb
»Der er flere grunde til, at vi mener, at dette kunne være et statssponsoreret angreb,« siger Costin Raiu, Director, Global Research and Analysis Team hos Kaspersky Lab.
»Først og fremmest observerede vi en meget høj grad af professionalisme i de operationelle procedurer hos gruppen bag dette angreb. De har en avanceret infrastruktur, processer for nedlukning af kampagnen samt undgåelse af nysgerrige blikke via særlige adgangsregler, og de benytter ’wiping’ fremfor almindelig sletning af logfiler. Det er et niveau af operationel sikkerhed, som ikke er normalt for cyberkriminelle grupper, og som gør ‘The Mask’ til en af de mest avancerede og alvorligste trusler i øjeblikket,« forklarer Costin Raiu.
Kaspersky Lab vurderer, at ‘The Mask’ overgår tidligere lignende angreb, som f.eks. Duqu, der var et angreb i samme klasse. Forskerne hos Kaspersky Lab blev først opmærksomme på ‘Careto’, eller ‘Masken’, sidste år, da de observerede gentagne forsøg på at udnytte en sårbarhed i Kaspersky Labs egne produkter, som blev løst for fem år siden. En sårbarhed, som sikrede malwaren evnen til at undgå opdagelse. Denne hændelse løftede forskernes interesse betydeligt, og sådan startede undersøgelsen.
Hvad gør ‘The Mask’?
Angrebet er bygget op omkring spear-phishing e-mails, der indeholder links til en ondsindet hjemmeside. Siden indeholder en række exploits, der er designet til at inficere de besøgende, afhængigt af systemets konfiguration. Efter en vellykket infektion omdirigeres brugeren til den rigtige hjemmeside, der refereres til i e-mailen, som kan være en YouTube-film eller en nyhedsportal.
Angriberne gør endvidere brug af særlige subdomæner på de ondsindede hjemmesider, som simulerer underafsnit af de vigtigste aviser i Spanien samt internationale aviser som f.eks. The Guardian og Washington Post. Ud over den indbyggede funktionalitet i det direkte angreb kan operatørerne af ‘The Mask’ uploade yderligere moduler, der kan udføre enhver ondsindet opgave på brugerens systemer.
Mere om metoden for ‘The Mask’:
· Forfatterne bag koden synes at være indfødte i det spanske sprog, hvilket er meget sjældent for APT-angreb
· Kampagnen var aktiv i mindst fem år indtil januar 2014 (nogle ‘Careto’-eksempler blev udarbejdet i 2007). I løbet af Kaspersky Labs undersøgelser blev ‘command-and-control’ (C&C)-serverne lukket ned
· Kaspersky Lab har talt over 380 unikke ofre på over 1000 IP-adresser. Inficerede systemer er blevet observeret i Algeriet, Argentina, Belgien, Bolivia, Brasilien, Kina, Colombia, Costa Rica, Cuba, Egypten, Frankrig, Tyskland, Gibraltar, Guatemala, Iran, Irak, Libyen, Malaysia, Mexico, Marokko, Norge, Pakistan, Polen, Sydafrika, Spanien, Schweiz, Tunesien, Tyrkiet, Storbritannien, USA og Venezuela
· Blandt de angrebsvektorer, som benyttes, er mindst ét Adobe Flash Player-exploit (CVE-2012 -0773 ) blevet anvendt. Dette var designet til Flash Player version før 10.3 og 11.2.
