Video: The Japan Group ❌ Hai barbatu’ meu du-ma la Mc 🍔🍟[ft Cristina Pucean] (Noiembrie 2024)
Cercetătorii Kaspersky Lab au descoperit o operațiune de spionaj cibernetic împotriva organizațiilor guvernamentale, energiei, petrolului și gazelor din întreaga lume folosind cea mai sofisticată serie de instrumente văzute până în prezent. Compania a spus că operațiunea a avut toate semnele de atac a unui stat național.
Costin Raiu, directorul echipei globale de cercetare și analiză de la Kaspersky Lab și echipa sa a demascat detaliile din spatele „The Mask” de la Summit-ul Analistilor de Securitate Kaspersky Lab, luni, care descrie modul în care operația a folosit un rootkit, un bootkit și un malware concepute pentru Windows, Mac OS X și Linux. Poate exista chiar și versiuni Android și iOS ale malware-ului folosit, a spus echipa. După toți indicatorii, Masca este o campanie de elită a statului națiune, iar structura sa este chiar mai sofisticată decât campania Flame asociată cu Stuxnet.
"Acesta este unul dintre cei mai buni pe care i-am văzut. Anterior, cel mai bun grup APT a fost cel din spatele Flame, dar acum asta îmi schimbă părerea datorită modului în care gestionează infrastructura și a modului în care reacționează la amenințări și la viteza de reacție și profesionalism. ", A spus Raiu. Masca merge „dincolo de Flacăra și de orice altceva am văzut până acum”.
Operațiunea a fost nedetectată timp de aproximativ cinci ani și a afectat 380 de victime despre peste 1.000 de adrese IP vizate aparținând entităților guvernamentale, birourilor și ambasadelor diplomatice, institutelor de cercetare și activiștilor. Lista țărilor afectate este lungă, inclusiv Algeria, Argentina, Belgia, Bolivia, Brazilia, China, Columbia, Costa Rica, Cuba, Egipt, Franța, Germania, Gibraltar, Guatemala, Iran, Irak, Libia, Malaezia, Mexic, Maroc, Norvegia, Pakistan, Polonia, Africa de Sud, Spania, Elveția, Tunisia, Turcia, Regatul Unit, Statele Unite și Venezuela.
Despachetarea măștii
Masca, denumită și Careto, fură documente și chei de criptare, informații de configurare pentru rețele private virtuale (VPN), chei pentru Secure Shell (SSH) și fișiere pentru Remote Desktop Client. Șterge, de asemenea, urmele activităților sale din jurnal. Kaspersky Lab a spus că malware-ul are o arhitectură modulară și acceptă fișierele de conectare și de configurare. Poate fi, de asemenea, actualizat cu noi module. Programul malware a încercat, de asemenea, să exploateze o versiune mai veche a software-ului de securitate Kaspersky.
"Încearcă să abuzăm de una dintre componentele noastre pentru a ascunde", a spus Raiu.
Atacul începe cu e-mailuri cu spear-phishing, cu link-uri către o adresă URL rău intenționată care găzduiește mai multe exploatări înainte de a livra în final utilizatorii pe site-ul legitim referit în corpul de mesaje. În acest moment, atacatorii au control asupra comunicațiilor mașinii infectate.
Atacatorii au folosit o exploatare care a vizat o vulnerabilitate în Adobe Flash Player, care permite atacatorilor să ocolească cutia de nisip din Google Chrome. Vulnerabilitatea a fost exploatată pentru prima dată cu succes în cadrul concursului Pwn2Own de la CanSecWest în 2012, de către brokerul francez VUPEN. VUPEN a refuzat să dezvăluie detalii despre modul în care a efectuat atacul, spunând că vor să îl salveze pentru clienții lor. Raiu nu a spus în mod clar că exploit-ul folosit în The Mask a fost același ca al lui VUPEN, dar a confirmat că este aceeași vulnerabilitate. - Poate cineva exploatează în sine, a spus Raiu.
VUPEN a dus pe Twitter pentru a nega exploatarea sa a fost folosită în această operațiune, spunând: "Declarația noastră oficială despre #Mask: exploit-ul nu este al nostru, probabil că a fost găsită prin difuzarea patch-ului lansat de Adobe după # Pwn2Own." Cu alte cuvinte, atacatorii au comparat Flash Player-ul cu patch-ul cu ediția neatacată, au eliminat diferențele și au dedus natura exploatului.
Unde este Masca acum?
Când Kaspersky a postat un blog despre The Mask pe blogul său săptămâna trecută, atacatorii au început să își închidă operațiunile, a spus Raiu. Faptul că atacatorii au putut să-și închidă infrastructura în patru ore după ce Kaspersky a publicat teaserul indică că atacatorii au fost cu adevărat profesioniști, a declarat Jaime Blasco, director de cercetare la AlienVault Labs.
În timp ce Kaspersky Lab a închis serverele de comandă și control pe care le-a găsit asociate operațiunii și Apple a închis domeniile asociate cu versiunea Mac a exploitului, Raiu consideră că acestea sunt doar un „instantaneu” al infrastructurii generale. „Bănuiesc că vedem o fereastră foarte îngustă în funcționarea lor”, a spus Raiu.
Deși este ușor de presupus că, deoarece în codul spaniol au existat comentarii că atacatorii erau dintr-o țară care vorbește spaniola, Raiu a subliniat că atacatorii ar fi putut utiliza cu ușurință o limbă diferită ca steag roșu pentru a arunca anchetatorii în afara terenului. Unde este Masca acum? Doar nu știm.