Video: There's a Hacker AMONG US and we STOP HIM! (FGTeeV Family Gameplay) (Oktober 2024)
Kaspersky Lab-forskere afslørede en cyber-spionageoperation mod regerings-, energi-, olie- og gasorganisationer over hele verden ved hjælp af det mest sofistikerede udvalg af værktøjer, der er set til dato. Virksomheden sagde, at operationen havde alle øremærkerne af at være et nationstatsangreb.
Costin Raiu, direktør for det globale forsknings- og analyseteam hos Kaspersky Lab, og hans team afslørede detaljerne bag "The Mask" på Kaspersky Lab Security Analysts Summit på mandag, der beskrev hvordan operationen brugte et rootkit, bootkit og malware designet til Windows, Mac OS X og Linux. Der kan endda være Android- og iOS-versioner af den anvendte malware, sagde teamet. Efter alle indikatorer er masken en elite nationalstatskampagne, og dens struktur er endnu mere sofistikeret end Flame-kampagnen, der er forbundet med Stuxnet.
"Dette er en af de bedste, jeg har set. Tidligere var den bedste APT-gruppe den bag Flame, men nu ændrer min mening på grund af den måde, man styrer infrastrukturen og den måde, de reagerer på trusler, og reaktionshastigheden og professionaliteten, ”Sagde Raiu. Masken går "ud over Flamme og alt andet, vi har set indtil videre."
Operationen gik uopdaget i cirka fem år og påvirkede 380 ofre omkring over 1.000 målrettede IP-adresser, der tilhørte regeringsenheder, diplomatiske kontorer og ambassader, forskningsinstitutter og aktivister. Listen over berørte lande er lang, herunder Algeriet, Argentina, Belgien, Bolivia, Brasilien, Kina, Colombia, Costa Rica, Cuba, Egypten, Frankrig, Tyskland, Gibraltar, Guatemala, Iran, Irak, Libyen, Malaysia, Mexico, Marokko, Norge, Pakistan, Polen, Sydafrika, Spanien, Schweiz, Tunesien, Tyrkiet, Det Forenede Kongerige, De Forenede Stater og Venezuela.
Udpakning af masken
Masken, også kaldet Careto, stjæler dokumenter og krypteringsnøgler, konfigurationsoplysninger til Virtual Private Networks (VPN), nøgler til Secure Shell (SSH) og filer til Remote Desktop Client. Det aftørrer også spor af sine aktiviteter fra loggen. Kaspersky Lab sagde, at malware har en modulær arkitektur og understøtter plug-ins og konfigurationsfiler. Det kan også opdateres med nye moduler. Malware forsøgte også at udnytte en ældre version af Kasperskys sikkerhedssoftware.
"Det prøver at misbruge en af vores komponenter for at skjule, " sagde Raiu.
Angrebet begynder med spyd-phishing-e-mails med links til en ondsindet URL, der er vært for flere udnyttelser, før de i sidste ende leverer brugerne til det legitime websted, der henvises til i meddelelsesorganet. På dette tidspunkt har angriberen kontrol over inficeret maskins kommunikation.
Angribere brugte en udnyttelse, der målrettede en sårbarhed i Adobe Flash Player, som lader angribere derefter omgå sandkassen i Google Chrome. Sårbarheden blev først udnyttet med succes under Pwn2Own-konkurrencen på CanSecWest tilbage i 2012 af den franske sårbarhedsmægler VUPEN. VUPEN nægtede at afsløre detaljer om, hvordan det udførte angrebet, idet de sagde, at de ville gemme det for deres kunder. Raiu sagde ikke direkte, at udnyttelsen, der blev brugt i masken, var den samme som VUPENs, men bekræftede, at det var den samme sårbarhed. ”Måske er der nogen, der udnytter sig selv, ” sagde Raiu.
VUPEN tog til Twitter for at nægte, at dens udnyttelse var blevet brugt i denne operation og sagde: "Vores officielle erklæring om #Mask: udnyttelsen er ikke vores, sandsynligvis blev den fundet ved at differe det program, der blev frigivet af Adobe efter # Pwn2Own." Med andre ord sammenlignede angriberne den lappede Flash Player med den uplagede udgave, udryddede forskellene og udledte udnyttelsens art.
Hvor er masken nu?
Da Kaspersky offentliggjorde en teaser af The Mask på sin blog i sidste uge, begyndte angribere at lukke deres operationer, sagde Raiu. Det faktum, at angribere var i stand til at lukke deres infrastruktur inden for fire timer efter, at Kaspersky offentliggjorde teaseren, tyder på, at angriberen var virkelig professionel, sagde Jaime Blasco, forskningsdirektør ved AlienVault Labs.
Mens Kaspersky Lab har lukket de kommando- og kontrolservere, den fandt forbundet med operationen, og Apple lukkede domænerne, der er knyttet til Mac-versionen af udnyttelsen, mener Raiu, at de kun er et "snapshot" af den samlede infrastruktur. ”Jeg formoder, at vi ser et meget smalt vindue ind i deres operation, ” sagde Raiu.
Mens det er let at antage, at fordi der var kommentarer i koden på spansk, at angriberen stammede fra et spansktalende land, påpegede Raiu, at angribere let kunne have brugt et andet sprog som et rødt flag for at kaste efterforskere off-track. Hvor er masken nu? Vi ved bare ikke.
