Kaspersky Lab odkryla Masku – jednu z dosud nejvyvinutějších světových kyberšpionáží

11 II 2014
Virus News

Santo Domingo, 11. února 2014

Tým bezpečnostních analytiků Kaspersky Lab oznámil odhalení Masky (anglicky The Mask, španělsky Careto). Jde o rozsáhlou kriminální kampaň ve španělském jazyce, která prováděla kybernetickou špionáž minimálně od roku 2007. Masku dělá výjimečnou složitost sady nástrojů využívaných útočníky, včetně vysoce sofistikovaného malwaru, rootkitu, bootkitu, verzi pro Mac OS a Linux a možná také pro Android a iOS (tedy iPady a iPhony). Jejím primárním cílem jsou vládní instituce, diplomatické úřady a ambasády, energetické, ropné a plynové společnosti, výzkumné organizace a aktivisté. Oběti útoku byly nalezeny v 31 zemích po celém světě.

Hlavním cílem útočníků je sběr citlivých dat z infikovaných systémů, včetně dokumentů, řady šifrovacích klíčů, konfigurací VPN, SSH klíčů (sloužících jako způsob identifikace uživatele na SSH serveru) a souborů RDP (využitý klientem vzdálené plochy k automatickému navázání spojení s rezervovaným počítačem).

„Máme několik důvodů se domnívat, že jde kampaň, za níž stojí nějaký stát. Pozorujeme tu vysokou profesionální úroveň. Od správy infrastruktury, ukončení činnosti, vyhýbaní se sledování pomocí přístupových pravidel a kompletním odstraněním souborů protokolu místo pouhého smazání. To vše staví tuto APT skupinu před Duqu z hlediska sofistikovanosti, což z ní dělá tu nejvyspělejší hrozbu současnosti,“ řekl Costin Raiu, šéf analytického týmu (Global Research and Analysis Team GReAT) Kaspersky Lab. „Taková úroveň zabezpečení operací není pro kybernetické kriminální skupiny běžná.“

Poprvé narazili analytici Kaspersky Lab na Careto minulý rok, kdy zpozorovali pokusy o zneužití zranitelností, které byly opraveny už před pěti lety. Toto zneužití poskytovalo malwaru možnost uniknout detekci a upoutalo pozornost analytiků. Začalo tedy vyšetřování.

Pro oběti může být infekce Maskou katastrofální. Malware pronikne do všech komunikačních kanálů a sbírá životně důležité informace z přístrojů napadené oběti. Odhalení je přitom extrémně složité kvůli schopnosti utajení rootkitu, zabudovaných funkcí a přídavných modulů kybernetické špionáže.

Hlavní nálezy:

  • Autoři se zdají být španělskými rodilými mluvčími, což bývá u APT útoků vzácné.
  • Kampaň byla aktivní minimálně v posledních pěti letech až do ledna 2014 (některé vzorky Careta byly sestaveny už v roce 2007). Během vyšetřování Kaspersky Lab byly C&C (kontrolní a ovládací servery) vypnuty. Mimochodem, dle analýzy Kaspersky Lab komunikovaly C&C servery i přes některé hostitelské služby v Česku (viz strana 29 ve zprávě).
  • Kaspersky Lab nalezla přes 380 unikátních obětí mezi více než tisícovkou IP adres v těchto zemích: Alžírsko, Argentina, Belgie, Bolivie, Brazílie, Čína, Egypt, Francie, Gibraltar, Guatemala, Írán, Irák, Jižní Afrika, Libye, Kolumbie, Kostarika, Kuba, Malajsie, Mexiko, Maroko, Německo, Norsko, Pákistán, Polsko, Španělsko, Švýcarsko, Tunis, Turecko, USA, Velká Británie a Venezuela.
  • Složitost a univerzálnost sady nástrojů užívaných útočníky činí tuto kybernetickou špionáž velice výjimečnou. Mezi tyto nástroje patří využití vysoce sofistikovaného malwaru, rootkitu, bootkitu, verzi pro Mac OS a Linux a možná také pro Android a iOS (iPady a iPhony). Maska provedla také cílený útok na produkty Kaspersky Lab.
  • Mezi nástroje útoku patřil minimálně jeden exploit pro Adobe Flash Player (CVE-2012-0773) vytvořený pro verze Flash Playeru před 10.3 a 11.2. Původně jej objevil VUPEN a byl využit v roce 2012 k úniku před sandboxem Google Chrome pro výhru v soutěži CanSecWest Pwn2Own.

Metody infekce a funkce

Kampaň Maska spoléhá na phishingové e-maily s odkazy na škodlivé stránky. Ty obsahují řadu vzorků malwaru navrženého k infikování návštěvníka, v závislosti na konfiguraci systému. Po úspěšném infikování přesměruje škodlivá stránka uživatele na neškodnou stránku zmíněnou v e-mailu, což mohl být film na YouTube nebo zpravodajský portál.

Je důležité poznamenat, že stránky návštěvníka neinfikují automaticky. Útočníci malware místo toho uchovávají v určitých složkách na webové stránce, na něž se nikde přímo neodkazuje vyjma phishingových e-mailů. Někdy jsou útočníci schováni za poddoménu na škodlivé stránce, takže se zdají legitimnějšími. Tyto podstránky imitují oddíly hlavních španělských a dalších mezinárodních deníků, například Guardianu nebo Washington Postu.

Malware se napojí na komunikační kanály a sbírá nejdůležitější informace z infikovaného systému. Careto je vysoce modulární systém. Podporuje pluginy a konfigurační soubory, což mu umožňuje provádět velké množství operací. Kromě zabudovaných funkcí mohou jeho operátoři nahrát přídavné moduly, které mohou provádět prakticky jakýkoliv zákeřný úkol.

Produkty Kaspersky Lab odhalí a odstraní všechny známé verze malwaru Maska/Careto.

Plná zpráva o Masce naleznete zde nebo na blogu Kaspersky Lab Securelist.

© 1997 – 2014 Kaspersky Lab ZAO

All Rights Reserved. Industry-leading Antivirus Software