Videó: A maszk 2. - A maszk fia (sample) (magyar) (November 2024)
A Kaspersky Lab kutatói a mai napig tapasztalt legkifinomultabb eszközök segítségével a világ minden táján működő kormányzati, energia-, olaj- és földgázszervezetekkel szembeni számítógépes kémkedést fedezték fel. A társaság szerint a műveletnek minden nemzetállami támadásnak van kitéve.
Costin Raiu, a Kaspersky Lab globális kutató- és elemző csoportjának igazgatója és csapata leleplezte a hétfőn a Kaspersky Lab biztonsági elemzőinek csúcstalálkozóján a "Maszk" részleteit, leírva, hogy a művelet hogyan használt egy rootkit, bootkit és malware szoftvert. Windows, Mac OS X és Linux. Lehet, hogy vannak a használt malware Android és iOS verziói is - mondta a csapat. Minden mutató szerint a The Mask egy elit nemzetállami kampány, felépítése még kifinomultabb, mint a Stuxnethez társított Láng kampány.
"Ez az egyik legjobb, amit láttam. Korábban a legjobb APT-csoport a Flame mögött állt, ám most, hogy megváltoztatom véleményem az infrastruktúra irányításának és a fenyegetésekre reagálásának, valamint a reakció és a professzionalizmus gyorsasága miatt. "- mondta Raiu. A maszk "meghaladja a lángot és bármi mást, amit eddig láttunk".
A művelet körülbelül öt éve észrevétlenül ment és 380 áldozatot érintett, több mint 1000 célzott IP-címről, amelyek kormányzati szervezetek, diplomáciai irodák és nagykövetségek, kutatóintézetek és aktivisták tulajdonában voltak. Az érintett országok listája hosszú: Algéria, Argentína, Belgium, Bolívia, Brazília, Kína, Kolumbia, Costa Rica, Kuba, Egyiptom, Franciaország, Németország, Gibraltár, Guatemala, Irán, Irak, Líbia, Malajzia, Mexikó, Marokkó, Norvégia, Pakisztán, Lengyelország, Dél-Afrika, Spanyolország, Svájc, Tunézia, Törökország, az Egyesült Királyság, az Egyesült Államok és Venezuela.
A maszk kicsomagolása
A maszk, más néven Careto, ellopja a dokumentumokat és a titkosítási kulcsokat, a virtuális magánhálózatok (VPN) konfigurációs adatait, a Secure Shell (SSH) kulcsait és a Remote Desktop Client fájljait. A naplóból megtisztítja tevékenységének nyomát is. A Kaspersky Lab szerint a rosszindulatú program moduláris architektúrával rendelkezik, és támogatja a plug-ineket és a konfigurációs fájlokat. Új modulokkal is frissíthető. A rosszindulatú program megpróbálta kihasználni a Kaspersky biztonsági szoftverének egy régebbi verzióját is.
"Megpróbál visszaélni az egyik alkotóelemmel, hogy elrejtse" - mondta Raiu.
A támadás lándzsás-adathalász e-mailekkel kezdődik, amelyek egy rosszindulatú URL-t tartalmaznak, amely többféle kizsákmányolást tárol, mielőtt végül a felhasználókat eljuttatják az üzenet törzsében hivatkozott legitim webhelyre. Ezen a ponton a támadók ellenőrzik a fertőzött gép kommunikációját.
A támadók kihasználták az Adobe Flash Player sebezhetőségét kihasználó kizsákmányolást, amely lehetővé teszi a támadók számára, hogy megkerüljék a Google Chrome homokozóját. A sebezhetőséget először a CanSecWest Pwn2Own versenyén, 2012-ben, a VUPEN francia sebezhetőségi bróker kihasználta. A VUPEN megtagadta a támadás végrehajtásának részleteinek nyilvánosságra hozatalát, mondván, hogy meg akarják menteni az ügyfelek számára. Raiu egyenesen nem mondta, hogy a The Maskban használt kizsákmányolás megegyezik a VUPEN-éval, de megerősítette, hogy ugyanaz a sebezhetőség volt. "Talán valaki kihasználja magukat" - mondta Raiu.
A VUPEN felhívta a Twittert, hogy tagadja a kizsákmányolását, és ebben a műveletben kijelentette: "A #Mask hivatalos nyilatkozata: a kizsákmányolás nem a miénk, valószínűleg az Adobe által a # Pwn2Own után kiadott javítás eloszlatásával találtuk meg." Más szavakkal: a támadók összehasonlították a javított Flash Player-et a még nem kiadott kiadással, kitörölték a különbségeket és következtettek a kizsákmányolás természetére.
Hol van a maszk?
Amikor Kaspersky a múlt héten elküldte a The Mask maszkját a blogjába, a támadók elkezdték leállítani a műveleteiket - mondta Raiu. Jaime Blasco, az AlienVault Labs kutatási igazgatója szerint az a tény, hogy a támadók négy órán belül tudták bezárni infrastruktúrájukat, miután a Kaspersky a tudósítót közzétette, a támadók valóban profiak voltak.
Míg a Kaspersky Lab leállította a művelettel kapcsolatban talált parancs- és vezérlőkiszolgálókat, az Apple pedig leállította a kizsákmányolás Mac változatához társított domaineket, Raiu úgy véli, hogy ezek csak a teljes infrastruktúra „pillanatképe”. "Gyanítom, hogy nagyon szűk ablakot látunk a működésük során" - mondta Raiu.
Noha könnyű azt feltételezni, hogy mivel a kódban spanyolul megjegyzések voltak, hogy a támadók spanyolul beszélő országból származnak, Raiu rámutatott, hogy a támadók könnyen használhattak volna egy másik nyelvet vörös zászlóként a nyomozók elhagyására. Hol van a maszk? Csak nem tudjuk.
