Otkrivena globalna operacija sajber špijunaže ''Maska''

Vesti, 11.02.2014, 07:51 AM

Istraživački tim kompanije Kaspersky Lab je objavio da je otkrio grupu „Maska“ (poznatu i pod nazivom "Careto"), čiji članovi govore španski, i koji su uključeni u globalne operacije sajber špijunaže još od 2007. godine. Ono što ovu grupu čini posebnom je kompleksnost alatki koje napadači koriste. Alati koje koristi grupa uključuju veoma sofisticirani malver, rootkit, bootkit, 32-bitne i 64-bitne Windows verzije, Mac OS X i Linux verzije i verovatno verzije za Android i iOS (iPad/iPhone).

Glavne mete su vladine institucije, diplomatske kancelarije i ambasade, energetske, naftne i gasne kompanije, istraživačke organizacije i aktivisti. Žrtve ovih ciljanih napada su identifikovane u više od 30 država širom sveta - od Bliskog Istoka i Evrope do Afrike i Severne i Južne Amerike.

Glavni cilj napadača je da dođu do poverljivih podataka sa zaraženih sistema. Ovo uključuje poslovna dokumenta, ali i šifre za enkripciju, VPN konfiguracije, SSH ključeve i RDP fajlove.

„Postoji nekoliko razloga zbog kojih verujemo da bi ovo mogla da bude kampanja koju sponzoriše neka od država. Pre svega, uočili smo veoma visok nivo profesionalizma u akcijama grupe koja stoji iza ovog napada. Od upravljanja infrastrukturom, preko prekida operacije, do izbegavanja radoznalih pogleda pomoću pravila za pristup i korišćenja čišćenja umesto brisanja log fajlova. Sve ovo stavlja ovaj napad ispred afere Duqu u pogledu sofisticiranosti, čineći ga jednim od najnaprednijih u ovom trenutku“, rekao je Costin Raiu, direktor globalnog istraživačkog i analitičkog tima u kompaniji Kaspersky Lab. „Ovaj nivo operativne bezbednosti nije uobičajen za sajberkriminalne grupe.“

Istraživači kompanije Kaspersky Lab su prvi put postali svesni kampanje Careto prošle godine kada su uočili pokušaje da se iskoristi ranjivost u proizvodima kompanije koja je bila ispravljena pre pet godina. To je omogućilo malveru da izbegne detektovanje. Naravno, ova situacija je zainteresovala stručnjake Kaspersky Lab-a i tako je počela istraga.

Za žrtve, infekcija koju izazove Careto može biti katastrofalna. Careto prekida sve komunikacijske kanale i sakuplja najbitnije podatke sa uređaja napadnutih korisnika. Detekcija je jako teška zbog rootkit kapaciteta, ugrađenih funkcija i dodatnih modula za sajber špijunažu.

Zaključci do kojih su došli u Kaspersky Lab-u analizirajući ovu kampanju su sledeći:

• Verovatno je da pripadnici grupe govore španski jezik, što je vrlo retko u APT napadima.

• Kampanja je bila aktivna najmanje pet godina do januara 2014. (neki Careto uzorci su iz 2007. godine). Tokom istrage kompanije Kaspersky Lab, serveri za komandu i kontrolu su bili ugašeni.

• Tačan broj žrtava je nepoznat. Kaspersky Lab je identifikovao više od 380 žrtava u zemljama među kojima su Alžir, Argentina, Belgija, Bolivija, Brazil, Kina, Kolumbija, Kostarika, Kuba, Egipat, Francuska, Nemačka, Gibraltar, Gvatemala, Iran, Irak, Libija, Malezija, Meksiko, Maroko, Norveška, Pakistan, Poljska, Južna Afrika, Španija, Švajcarska, Tunis, Turska, Ujedinjeno Kraljevstvo, Sjedinjene Američke Države i Venecuela.

• Složenost i univerzalnost alatki koje koriste napadači čini ovu operaciju sajber špijunaže veoma posebnom. Ovo podrazumeva korišćenje vrhunskih exploit-a, veoma razvijene vrste malvera, rootkit, bootkit, Mac OS X i Linux verzije i verovatno verzije za Android i iPad/iPhone (iOS). Ova grupa je takođe koristila neke komponente prilagođene napadima na programe kompanije Kaspersky Lab.

• Među vektorima napada, korišćen je najmanje jedan Adobe Flash Player exploit (CVE-2012-0773) i to za verzije Flash Player-a pre verzija 10.3 i 11.2. Ovaj exploit je prvobitno bio korišćen od strane VUPEN-a koji ga je 2012. godine koristio za pobedu na takmičenju Can SecWest Pwn2Own da bi se izbegao Google Chrome sandbox.

Prema analizi kompanije Kaspersky Lab, kampanja Maska se oslanja na spear-fišing emailove sa linkovima koji vode do malicioznog web sajta. Maliciozni web sajt sadrži brojne exploit-e dizajnirane tako da inficiraju računare posetilaca (ali ne automatski), u zavisnosti od konfiguracije sistema. Nakon uspešne infekcije, maliciozni web sajt preusmerava korisnika na bezopasan web sajt na koji se upućuje korisnik u emailu, koji može biti film na YouTube-u ili portal sa vestima.

Više informacija o operaciji Maska možete naći u dokumentu koji je objavio Kaspersky Lab (pdf) ili na blogu kompanije Securelist.com.