Видео: unboxing turtles slime surprise toys learn colors (Септември 2024)
Изследователи на лабораторията Касперски разкриха операция за кибер шпионаж срещу правителствени, енергийни, петролни и газови организации по света, използвайки най-сложния набор от инструменти, виждани до момента. Компанията заяви, че операцията има всички белези за нападение на национална държава.
Костин Райу, директор на екипа за глобални изследвания и анализи в Лаборатория Касперски, и неговият екип разкриха подробностите зад „Маската“ на срещата на върха на анализаторите за сигурност на лабораторията Касперски в понеделник, описвайки как операцията използва руткит, начален код и зловреден софтуер, предназначен за Windows, Mac OS X и Linux. Възможно е дори да има Android и iOS версии на използвания злонамерен софтуер, заяви екипът. По всички показатели The Mask е елитна национална кампания и нейната структура е дори по-сложна от кампанията на Flame, свързана със Stuxnet.
"Това е едно от най-добрите, които съм виждал. Преди това най-добрата група APT беше тази зад Flame, но сега това променя мнението ми заради начина на управление на инфраструктурата и начина, по който реагират на заплахите, и скоростта на реакция и професионализма. ", Каза Райу. Маската излиза „отвъд Пламъка и всичко друго, което сме виждали досега“.
Операцията остана неоткрита в продължение на около пет години и засегна 380 жертви около над 1000 насочени IP адреси, принадлежащи на правителствени организации, дипломатически служби и посолства, изследователски институти и активисти. Списъкът на засегнатите страни е дълъг, включително Алжир, Аржентина, Белгия, Боливия, Бразилия, Китай, Колумбия, Коста Рика, Куба, Египет, Франция, Германия, Гибралтар, Гватемала, Иран, Ирак, Либия, Малайзия, Мексико, Мароко, Норвегия, Пакистан, Полша, Южна Африка, Испания, Швейцария, Тунис, Турция, Обединеното кралство, САЩ и Венецуела.
Разопаковане на маската
Маската, наречена също Careto, краде документи и ключове за криптиране, информация за конфигурация за виртуални частни мрежи (VPN), ключове за сигурна обвивка (SSH) и файлове за отдалечен работен клиент. Освен това изтрива следи от дейностите си от дневника. Kaspersky Lab заяви, че зловредният софтуер има модулна архитектура и поддържа приставки и конфигурационни файлове. Може да се актуализира и с нови модули. Зловредният софтуер също се опита да използва по-стара версия на софтуера за сигурност на Kaspersky.
"Опитва се да злоупотреби с един от нашите компоненти, за да се скрие", каза Райу.
Атаката започва с копие с фишинг имейли с връзки към злонамерен URL адрес, хостващ множество подвизи, преди в крайна сметка да достави потребителите на законния сайт, посочен в тялото на съобщението. В този момент нападателите имат контрол върху комуникациите на заразената машина.
Нападателите използваха експлоатация, насочена към уязвимост в Adobe Flash Player, която позволява на нападателите след това да заобиколят пясъчната кутия в Google Chrome. Уязвимостта е използвана за първи път по време на конкурса Pwn2Own в CanSecWest през 2012 г. от френския брокер за уязвимост VUPEN. VUPEN отказа да разкрие подробности как е извършила атаката, заявявайки, че иска да я запази за своите клиенти. Райу съвсем не каза, че експлоатацията, използвана в The Mask, е същата като VUPEN, но потвърди, че е същата уязвимост. „Може би някой сам експлоатира“, каза Райю.
VUPEN отиде в Twitter, за да отрече експлоатацията му да е била използвана в тази операция, казвайки: „Официалното ни изявление за #Mask: експлоатацията не е наша, вероятно е открита чрез различаване на патча, освободен от Adobe след # Pwn2Own“. С други думи, нападателите сравниха закърнения Flash Player с несвързаното издание, извадиха разликите и извадиха естеството на експлоатацията.
Къде е Маската сега?
Когато Касперски публикува закачка на The Mask в блога си миналата седмица, нападателите започнаха да спират операциите си, заяви Райу. Фактът, че нападателите са успели да затворят инфраструктурата си в рамките на четири часа, след като Касперски публикува тийзъра, показва, че нападателите са били наистина професионални, заяви Хайме Бласко, директор на научните изследвания в AlienVault Labs.
Докато Лаборатория Касперски е затворила сървърите за командване и контрол, които е намерила, свързани с операцията, и Apple е изключила домейните, свързани с версията на Mac на експлоатацията, Райу смята, че те са само „моментна снимка“ на цялостната инфраструктура. "Подозирам, че виждаме много тесен прозорец в работата им", каза Райу.
Макар че е лесно да се предположи, че тъй като в испанския код имаше коментари, че нападателите са от испаноезична страна, Райу посочи, че нападателите лесно биха могли да използват различен език като червен флаг, за да изхвърлят следователите извън пътя. Къде е сега Маската? Просто не знаем.
