Kaspersky Lab descobre "A Máscara", uma das operações de ciberespionagem mais avançadas de sempre

Kaspersky Lab descobre "A Máscara", uma das operações de ciberespionagem mais avançadas de sempre

12 fev 2014
Comunicados de Imprensa, Notícias de Vírus

  • Surge um novo factor de ameaça: os atacantes são de idioma hispânico e dirigem-se a instituições governamentais, companhias de energia, petróleo e gás, assim como a outras vítimas de elevado perfil
  • Já se contabilizaram mais de 380 vítimas únicas entre mais de 1000 IPs. As infecções foram observadas em países como Espanha, Argentina, Brasil, Colômbia, Costa Rica, Cuba, França, Alemanha, Gibraltar, Suíça, Tunísia, Estados Unidos ou Venezuela
  • Por vezes, os atacantes utilizam subdomínios nos websites para que pareçam mais reais. Estes subdomínios simulam as secções dos principais jornais de Espanha, bem como do "The Guardian" e do "The Washington Post"

A equipa de investigação de segurança da Kaspersky Lab anunciou a descoberta de "A Máscara" (também conhecido como Careto), uma nova e avançada ciberameaça de fala hispânica que tem estado envolvida em operações globais de ciberespionagem pelo menos desde o ano 2007. O que torna especial a Máscara é a complexidade do conjunto de ferramentas utilizadas pelos atacantes. Inclui um programa malicioso extremadamente sofisticado, um rootkit, um bootkit e versões para Mac OS X e Linux e, possivelmente, para Android e iOS (iPad / iPhone).

Os alvos principais foram instituições governamentais, representantes diplomáticos e embaixadas, além de companhias de energia, petróleo e gás, organizações de investigação e activistas. As vítimas de este ataque dirigido foram detectadas em 31 países de todo o mundo - desde o Médio Oriente e Europa a África e às Américas.

Os ciberatacantes tinham como desafio principal recolher dados sensíveis dos sistemas infectados, incluindo diversas chaves de encriptação, configurações VPN, chaves SSH (que serve como meio de identificação de um utilizador a um servidor SSH) e ficheiros RDP (utilizados para abrir automaticamente uma ligação a um computador reservado).

"Existem várias razões que nos fazem acreditar que esta pode ser uma campanha patrocinada por um Estado. Em primeiro lugar, observámos um elevado grau de profissionalismo nos procedimentos operativos do grupo que está por detrás deste ataque: desde a gestão da infra-estrutura, ao fecho da operação, evitando a detecção através de regras de acesso e da limpeza em vez da eliminação dos ficheiros de registo. Esta combinação coloca A Máscara à frente da APT do Duqu em termos de sofisticação, pelo que é uma de as ameaças mais avançadas neste momento”, afirma Costin Raiu, director da Equipa de Investigação e Análise Global da Kaspersky Lab. "Este nível de segurança operacional não é normal em grupos de cibercriminosos”.

Os investigadores da Kaspersky Lab detectaram A Máscara pela primeira vez no ano passado, quando observaram tentativas de explorar uma vulnerabilidade nos produtos da companhia. O exploit dava ao malware a capacidade de evitar a detecção. Como é evidente, esta situação gerou muito interesse e foi assim que se iniciou a investigação.

Para as vítimas, uma infecção pela Máscara pode ser desastrosa já que intercepta todos os canais de comunicação e recolhe a informação mais vital do equipamento da vítima. A detecção é extremamente difícil devido às capacidades sigilosas do rootkit, às funcionalidades integradas e aos módulos de ciberespionagem adicionais.

Principais conclusões:
  • Os autores parecem ser de origem hispânica, um facto que só muito raramente se observa em ataques APT.
  • A campanha esteve activa durante pelo menos cinco anos Janeiro de 2014 (algumas amostras da Máscara foram recolhidas em 2007). Durante o decurso das investigações da Kaspersky Lab, os servidores de comando e controlo (C&C ) foram encerrados.
  • Foram contabilizadas mais de 380 vítimas únicas entre más de 1000 IPs. As infecções foram observadas em: África do Sul, Alemanha, Argélia, Argentina, Bélgica, Bolívia, Brasil, China, Colômbia, Costa Rica, Cuba, Espanha, Egipto, Estados Unidos, França, Gibraltar, Guatemala, Irão, Iraque, Líbia, Malásia, Marrocos, México, Noruega, Paquistão, Polónia, Reino Unido, Suíça, Tunísia, Turquia e Venezuela.
  • A complexidade e universalidade do conjunto de ferramentas utilizadas pelos atacantes fazem com que esta operação de ciberespionagem seja muito especial. Aproveitam exploits de alta gama, uma peça muito sofisticada de software malicioso, um rootkit, um bootkit, versões para Mac OS X e Linux e possivelmente versões para Android e para iPad/iPhone (iOS). A Máscara também utilizou um ataque personalizado contra os produtos da Kaspersky Lab.
  • Entre os vectores de ataque, foi usado pelo menos um exploit do Adobe Flash Player (CVE-2012 - 0773). Foi concebido para as versões do Flash Player anteriores às 10.3 e 11.2. Este exploit foi descoberto originalmente pela VUPEN e utilizado em 2012 para escapar da sandbox do Google Chrome para ganhar o concurso Pwn2Own CanSecWest.

Métodos de infecção  e funcionalidades

De acordo com o relatório de análise da Kaspersky Lab, a campanha da Máscara baseia-se no envio de mensagens de correio electrónico de phishing com links para um website malicioso. O website malicioso contém uma série de exploits concebidos para infectar os visitantes em função da configuração do sistema. Depois da infecção, o site malicioso redirecciona o utilizador para a página web legítima de referência no correio electrónico, que pode ser um filme do YouTube ou um portal de notícias.

É importante ter em conta que o exploit em websites não infecta automaticamente os visitantes. Em vez disso, os atacantes recebem os exploits em pastas específicas no website, que não estão directamente referenciadas em qualquer lugar, excepto em mensagens de email maliciosas. Por vezes, os atacantes utilizam subdomínios nos websites para que pareçam mais reais. Estes subdomínios simulam as secções dos principais jornais de alguns países, como de Espanha, além de outros de grande renome como o "The Guardian" e o "The Washington Post".

A Máscara é um sistema altamente modular, suporta plugins e ficheiros de configuração, que lhe permitem realizar um grande número de funções. Além das funcionalidades incorporadas, os operadores da Máscara podiam carregar módulos adicionais que poderiam realizar qualquer tarefa maliciosa.

Os produtos da Kaspersky Lab detectam e eliminam todas as versões conhecidas do malware a Máscara ou Careto. Para ler o relatório completo, com uma descrição detalhada das ferramentas e estatísticas maliciosas, bem como indicadores de ataques efectuados, visite a Securelist.

Links de utilidade:

http://newsroom.kaspersky.eu/pt/home

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.