Domov Securitywatch Maska sa zasekáva za všetko, čo sme doteraz videli

Maska sa zasekáva za všetko, čo sme doteraz videli

Video: TOMB OF THE MASK (PLAYGENDARY) - Gameplay Walkthrough Part 18 Level 196 - 200 Final Level (November 2024)

Video: TOMB OF THE MASK (PLAYGENDARY) - Gameplay Walkthrough Part 18 Level 196 - 200 Final Level (November 2024)
Anonim

Vedci spoločnosti Kaspersky Lab odhalili kybernetickú špionážnu operáciu proti vládnym, energetickým, ropným a plynárenským organizáciám na celom svete pomocou najmodernejšej škály doteraz používaných nástrojov. Spoločnosť uviedla, že táto operácia mala všetky znaky, že ide o útok na štátny štát.

Costin Raiu, riaditeľ globálneho tímu pre výskum a analýzu v spoločnosti Kaspersky Lab, a jeho tím odhalili podrobnosti za „Maskou“ na samite analytikov analytikov spoločnosti Kaspersky Lab v pondelok a opísali, ako sa pri operácii použili rootkit, bootkit a malware určený pre Windows, Mac OS X a Linux. Tím môže dokonca obsahovať verzie škodlivého softvéru pre Android a iOS. Maska je podľa všetkých ukazovateľov elitnou kampaňou národného štátu a jej štruktúra je ešte sofistikovanejšia ako kampaň Flame spojená so Stuxnetom.

„Je to jedna z najlepších, ktoré som videl. Predtým bola najlepšou skupinou APT skupina Flame, ale teraz to mení môj názor kvôli spôsobu riadenia infraštruktúry a spôsobu, akým reagujú na hrozby a rýchlosti reakcie a profesionality., “Povedala Raiu. Maska ide „za plameň a všetko, čo sme doteraz videli“.

Táto operácia zostala nezistená približne päť rokov a zasiahla 380 obetí z viac ako 1 000 cielených IP adries patriacich vládnym subjektom, diplomatickým úradom a veľvyslanectvám, výskumným ústavom a aktivistom. Zoznam postihnutých krajín je dlhý: Alžírsko, Argentína, Belgicko, Bolívia, Brazília, Čína, Kolumbia, Kostarika, Kuba, Egypt, Francúzsko, Nemecko, Gibraltár, Guatemala, Irán, Irak, Líbya, Malajzia, Mexiko, Maroko, Nórsko, Pakistan, Poľsko, Južná Afrika, Španielsko, Švajčiarsko, Tunisko, Turecko, Spojené kráľovstvo, Spojené štáty americké a Venezuela.

Vybalenie masky

Maska, tiež pomenovaná Careto, kradne dokumenty a šifrovacie kľúče, informácie o konfigurácii pre virtuálne súkromné ​​siete (VPN), kľúče pre Secure Shell (SSH) a súbory pre klienta vzdialenej pracovnej plochy. Z protokolu vymaže aj stopy po jeho činnosti. Spoločnosť Kaspersky Lab uviedla, že malvér má modulárnu architektúru a podporuje doplnky a konfiguračné súbory. Môže byť tiež aktualizovaný o nové moduly. Malvér sa tiež pokúsil využiť staršiu verziu bezpečnostného softvéru spoločnosti Kaspersky.

„Snaží sa zneužiť niektorú z našich zložiek na skrytie, “ povedal Raiu.

Útok začína e-mailovými adresami, ktoré neoprávnene získavajú údaje (phishing), s odkazmi na škodlivú adresu URL, na ktorej sú hosťované viaceré zneužitia, a nakoniec používateľov privedie na legitímnu stránku uvedenú v tele správy. V tomto okamihu majú útočníci kontrolu nad komunikáciou infikovaného počítača.

Útočníci použili zneužitie, ktoré sa zameralo na chybu zabezpečenia v prehrávači Adobe Flash Player, ktorá útočníkom umožňuje obísť karanténu v prehliadači Google Chrome. Táto zraniteľnosť bola prvýkrát úspešne zneužitá počas súťaže Pwn2Own v CanSecWest v roku 2012 francúzskym maklérom zraniteľnosti VUPEN. VUPEN odmietol zverejniť podrobnosti o tom, ako útok vykonal a uviedol, že ho chceli uložiť pre svojich zákazníkov. Raiu priamo nepovedal, že zneužívanie použité v The Mask bolo rovnaké ako pri VUPEN, ale potvrdil, že išlo o rovnakú zraniteľnosť. „Možno, že niekto zneužije sám seba, “ povedala Raiu.

VUPEN vzal na Twitter, aby poprel, že jeho zneužitie bolo použité v tejto operácii, a povedal: „Naše oficiálne vyhlásenie o #Mask: zneužitie nie je naše, pravdepodobne to bolo nájdené rozdielom záplaty, ktorú vydal Adobe po # Pwn2Own.“ Inými slovami, útočníci porovnali záplatovaný Flash Player s nepatričnou edíciou, odstránili rozdiely a odvodili povahu zneužitia.

Kde je teraz maska?

Keď spoločnosť Kaspersky minulý týždeň zverejnila na svojom blogu upútavku The Mask, útočníci začali ich operácie ukončovať, povedala Raiu. Skutočnosť, že útočníci boli schopní vypnúť svoju infraštruktúru do štyroch hodín potom, čo spoločnosť Kaspersky uverejnila ukážku, naznačuje, že útočníci boli skutočne profesionálni, uviedol Jaime Blasco, riaditeľ výskumu v laboratóriách AlienVault Labs.

Zatiaľ čo spoločnosť Kaspersky Lab ukončila prevádzku príkazových a riadiacich serverov, ktoré zistila v súvislosti s touto operáciou, a Apple vypol domény spojené s verziou zneužitia systému Mac, Raiu sa však domnieva, že ide iba o „snímku“ celkovej infraštruktúry. „Mám podozrenie, že v ich prevádzke vidíme veľmi úzke okno, “ povedal Raiu.

Aj keď je ľahké predpokladať, že pretože v španielskom kóde boli komentáre, že útočníci boli zo španielsky hovoriacej krajiny, Raiu zdôraznil, že útočníci mohli ľahko použiť iný jazyk ako červenú vlajku na vyhodenie vyšetrovateľov mimo dráhy. Kde je teraz maska? Len to nevieme.

Maska sa zasekáva za všetko, čo sme doteraz videli