Vídeo: Fins Ara - Veer (Lyrics) (Setembre 2024)
Els investigadors del Kaspersky Lab van descobrir una operació d’espionatge cibernètic contra organitzacions governamentals, d’energia, petroli i gas a tot el món mitjançant la gamma d’eines més sofisticades que s’han vist fins ara. La companyia va dir que l'operació tenia totes les característiques de l'atac d'un estat nació.
Costin Raiu, director de l'equip de recerca i anàlisi global del Kaspersky Lab i el seu equip van desemmascarar els detalls de "The Mask" a la Cimera dels Analistes de Seguretat Kaspersky Lab dilluns, descrivint com l'operació utilitzava un rootkit, un bootkit i un programari maliciós dissenyat per a Windows, Mac OS X i Linux. Hi pot haver fins i tot versions de Android i iOS del programari maliciós utilitzat, va dir l'equip. Per tots els indicadors, The Mask és una campanya d'elit d'estat nació i la seva estructura és encara més sofisticada que la campanya Flame associada a Stuxnet.
"Aquest és un dels millors que he vist. Anteriorment, el millor grup APT era el que hi havia darrere Flame, però ara això canvia d'opinió per la manera de gestionar la infraestructura i la manera de reaccionar davant les amenaces i la velocitat de reacció i professionalitat. ", Va dir Raiu. La Màscara va "més enllà de la Flama i de qualsevol cosa que hem vist fins ara".
L'operació es va desetectar durant uns cinc anys i va afectar 380 víctimes sobre més de 1.000 adreces IP dirigides a entitats governamentals, oficines i ambaixades diplomàtiques, instituts de recerca i activistes. La llista de països afectats és llarga, inclosa Algèria, Argentina, Bèlgica, Bolívia, Brasil, Xina, Colòmbia, Costa Rica, Cuba, Egipte, França, Alemanya, Gibraltar, Guatemala, Iran, Iraq, Líbia, Malàisia, Mèxic, Marroc, Noruega, Pakistan, Polònia, Sud-àfrica, Espanya, Suïssa, Tunísia, Turquia, Regne Unit, Estats Units i Veneçuela.
Desempaquetar la màscara
La màscara, també anomenada Careto, roba documents i claus de xifratge, informació de configuració per a xarxes privades virtuals (VPN), claus de Secure Shell (SSH) i fitxers per a client d'escriptori remot. També esborra rastres de les seves activitats del registre. Kaspersky Lab va dir que el programari maliciós té una arquitectura modular i admet fitxers de complement i configuració. També es pot actualitzar amb nous mòduls. El programari maliciós també va intentar explotar una versió més antiga del programari de seguretat de Kaspersky.
"És intentar abusar d'un dels nostres components per ocultar", va dir Raiu.
L’atac s’inicia amb correus electrònics de caça contra la pesca amb enllaços a un URL malintencionat que inclou diverses explotacions abans de lliurar finalment els usuaris al lloc legítim al qual es fa referència al cos de missatges. Arribats a aquest punt, els atacants tenen control sobre les comunicacions de la màquina infectada.
Els atacants van utilitzar una explotació que tenia com a objectiu una vulnerabilitat a Adobe Flash Player, que permet que els atacants passin la caixa de sorra de Google Chrome. La vulnerabilitat va ser explotada amb èxit durant el concurs Pwn2Own a CanSecWest el 2012 pel corredor francès de vulnerabilitat VUPEN. VUPEN es va negar a revelar detalls de com va realitzar l'atac, dient que volien guardar-lo per als seus clients. Raiu no va dir en absolut que l'explotació usada a The Mask era la mateixa que la de VUPEN, però va confirmar que era la mateixa vulnerabilitat. "Potser algú s'explota a si mateix", va dir Raiu.
VUPEN va portar a Twitter per negar la seva explotació que s'havia utilitzat en aquesta operació, dient: "La nostra declaració oficial sobre #Mask: l'explotació no és nostra, probablement es va trobar diferenciant el pegat llançat per Adobe després de # Pwn2Own". Dit d'una altra manera, els atacants van comparar el reproductor de Flash pegat amb l'edició sense coincidir, van eliminar les diferències i van deduir la naturalesa de la gesta.
On es troba The Mask Now?
Quan Kaspersky va publicar un teaser de The Mask al seu blog la setmana passada, els atacants van començar a tancar les seves operacions, va dir Raiu. El fet que els atacants poguessin tancar la seva infraestructura en quatre hores després que Kaspersky publiqués el teaser, indica que els atacants eren realment professionals, va dir Jaime Blasco, director de recerca d'AlienVault Labs.
Si bé Kaspersky Lab ha tancat els servidors de comandaments i control que ha trobat associats amb l'operació i Apple ha tancat els dominis associats a la versió de Mac de l'explotació, Raiu creu que són només una "instantània" de la infraestructura general. "Sospito que estem veient una finestra molt estreta en el seu funcionament", va dir Raiu.
Tot i que és fàcil suposar que, perquè hi havia comentaris en el codi en espanyol que els atacants eren d’un país de parla espanyola, Raiu va assenyalar que els atacants podrien haver utilitzat fàcilment un idioma diferent com a bandera vermella per llançar els investigadors fora de pista. On és ara la màscara? Simplement no ho sabem.
