Kaspersky Lab a descoperit „The Mask” – una dintre cele mai avansate operaţiuni de spionaj cibernetic la nivel global descoperite până în prezent, datorită complexităţii setului de instrumente utilizate de către atacatori.
O nouă ameninţare: Atacatorii vorbitori de limbă spaniolă vizează instituţii guvernamentale, companii din domeniul energiei, petrolului şi gazelor şi alte victime foarte importante, prin intermediul unui set de instrumente malware mixte (cross-platform).
Echipa de cercetare a Kaspersky Lab a anunţat descoperirea „The Mask”(alias Careto), o ameninţare avansată, care a fost implicată în operaţiuni de spionaj cibernetic încă din 2007. Caracterul special al „The Mask” este dat de complexitatea setului de instrumente utilizate de către atacatori. Acesta include un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X şi Linux şi, probabil, versiuni pentru Android şi iOS (iPad/iPhone).
Ţintele principale sunt instituţii guvernamentale, birouri diplomatice şi ambasade, companii din domeniul energiei, petrolului şi gazelor, organizaţii de cercetare şi activişti. Victimele acestui atac cu ţinte specifice sunt din 31 de ţări din întreaga lume – din Orientul Mijlociu şi Europa până în Africa sau Americi.
Principalul obiectiv al atacatorilor este acela de a colecta informaţii cu caracter confidenţial din sistemele infectate. Acestea includ documente oficiale, dar şi diverse chei de criptare, configuraţii VPN, chei SSH (care au rolul de a identifica un utilizator sau un server SSH) şi fişiere RDP (utilizate de către Remote Desktop Client pentru a deschide automat o conexiune cu computerul rezervat).
„Există o serie de motive pentru care credem că aceasta ar putea fi o campanie sponsorizată de către un stat”, a declarat Costin Raiu, Directorul Global Research and Analysis Team (GReAT) în cadrul Kaspersky Lab. „În primul rând, am observat un grad foarte înalt de profesionalism în ceea ce priveşte procedurile operaţionale ale grupului din spatele acestui atac. De la administrarea infrastructurii, închiderea operaţiunii, evitarea accesului persoanelor neautorizate prin intermediul regulilor de acces şi utilizarea ştergerii definitive (wiping) în locul ştergerii parţiale (deletion) a fişierelor de log. Această combinaţie face ca acest atacator să fie mai sofisticat chiar decât Duqu, fiind una dintre cele mai avansate ameninţări în acest moment. Acest nivel de sofisticare nu este normal pentru gupările de infractori cibernetici”, a încheiat Raiu.
Cercetătorii Kaspersky Lab au aflat de existenţa lui Careto anul trecut, când au observat tentative de a exploata o vulnerabilitate a produselor companiei, care fusese reparată cu cinci ani în urmă. Exploit-ul respectiv oferea malware-ului capacitatea de a evita detectarea. Desigur, această situaţie le-a atras atenţia şi astfel a început investigaţia.
Pentru victime, o infecţie cu Careto poate fi dezastruoasă. Careto interceptează toate canalele de comunicare şi colectează cele mai importante informaţii de pe dispozitivul victimei. Detectarea este extrem de dificilă datorită capacităţilor de rootkit foarte discrete, a funcţionalităţilor încorporate şi a modulelor suplimentare de spionaj cibernetic.
