Kaspersky Lab a făcut publică descoperirea unei noi arme din arsenalul cibernetic, The Mask fiind una dintre cele mai avansate operațiuni de spionaj cibernetic la nivel global cunoscute până în prezent datorită complexității setului de instrumente utilizate de către atacatori. Această campanie de spionaj vizează instituții guvernamentale, companii din domeniul energiei, petrolului și gazelor sau alte victime foarte importante, iar rutinele software de propagare și control folosesc un set de instrumente malware cu funcții mixte și compatibilitate multiplatformă.
- Publicitate -
Conform Kaspersky, campania de spionaj cibernetic The Mask (sau Careto, conform comentariilor din cod făcute în limba spaniolă) datează încă din 2007. Cercetătorii Kaspersky Lab au aflat de existența lui Careto anul trecut, când au observat tentative de a exploata o vulnerabilitate a produselor companiei care fusese reparată cu cinci ani în urmă, iar analiza codului buclucaș a dus la descoperirea The Mask. În timpul investigațiilor Kaspersky Lab, serverele de comandă și control au fost închise.
Caracterul special al "The Mask" este dat de complexitatea setului de instrumente utilizate de către atacatori. Acesta include un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X și Linux și, probabil, versiuni pentru Android și iOS (iPad/iPhone). Țintele principale sunt instituții guvernamentale, birouri diplomatice și ambasade, companii din domeniul energiei, petrolului și gazelor, organizații de cercetare și activiști. Numărul victimelor acestui atac cu ținte specifice se ridică în prezent la 380, acestea provenind din 31 de țări din toate colțurile lumii.
Principalul obiectiv al atacatorilor este acela de a colecta informații cu caracter confidențial din sistemele infectate. Acestea includ documente oficiale, dar și diverse chei de criptare, configurații VPN, chei SSH (care au rolul de a identifica un utilizator sau un server SSH) și fișiere RDP (utilizate de către Remote Desktop Client pentru a deschide automat o conexiune cu computerul rezervat).
The Mask interceptează toate canalele de comunicare și colectează cele mai importante informații de pe dispozitivul victimei. Detectarea este extrem de dificilă datorită capacităților de rootkit foarte discrete, a funcționalităților încorporate și a modulelor suplimentare de spionaj cibernetic. Malware-ul interceptează toate canalele de comunicare și colectează cele mai importante informații din sistemele infectate. The Mask este un sistem extrem de modular, folosindu-se de plugin-uri și fișiere de configurare, care îi permit să îndeplinească un număr mare de funcții. În plus față de funcționalitățile încorporate, operatorii lui Careto ar putea să încarce module suplimentare care ar putea îndeplini orice sarcină cu caracter malware.
Potrivit raportului de analiză Kaspersky Lab, campania "The Mask" se bazează pe e-mail-uri de tip "spear-phising" cu link-uri către website-uri cu o componentă malware. Website-ul infectat conține un număr de exploit-uri create pentru a–l infecta pe vizitator, în funcție de configurația sistemului. În momentul infectării cu succes, website-ul infectat redirecționează utilizatorul către site-ul legitim la care se făcea referire în e-mail, care poate fi YouTube sau un portal de știri.
Datorită complexității instrumentelor software și a naturii speciale a victimelor, Kaspersky Lab afirmă că avem de-a face în mod aproape sigur cu o campanie de spionaj în spatele căreia se află una sau mai multe agenții de spionaj cu caracter național. Reprezentanții Kaspersky afirmă că The Mask este o campanie de spionaj mai complexă decât Duqu, Gauss, RedOctober sau Icefog și la fel de elaborată ca Stuxnet sau Flame. The Mask este a doua campanie masivă de spionaj descoperită în ultima lună, Rusia fiind acuzată la finele lunii ianuarie de desfășurarea unei operațiuni de spionaj cibernetic cunoscută sub numele CrowdStrike.
