ΑρχικήsecurityΑνακαλύφθηκε ιός με παγκόσμιες δραστηριότητες ψηφιακής κατασκοπείας από το 2007

Ανακαλύφθηκε ιός με παγκόσμιες δραστηριότητες ψηφιακής κατασκοπείας από το 2007

The_Mask-s

Οι ειδικοί της Kaspersky Lab ανακάλυψαν το ιό The Mask (γνωστό και ως Careto), μία προηγμένη, ισπανόφωνη απειλή που έχει εμπλακεί σε παγκόσμιες δραστηριότητες ψηφιακής κατασκοπείας τουλάχιστον από το 2007.

Αυτό που κάνει την απειλή αυτή ξεχωριστή είναι η πολυπλοκότητα των εργαλείων που χρησιμοποιούνται από τους επιτιθέμενους. Σε αυτα συμπεριλαμβάνεται ένα εξαιρετικά εξελιγμένο malware, ένα rootkit κι ένα bootkit, καθώς και εκδόσεις για λειτουργικά Mac OS X και Linux και – ενδεχομένως – εκδόσεις για Android και iOS (iPad/ iPhone).

Κύριοι στόχοι του The Mask/ Careto είναι κυβερνητικοί οργανισμοί, διπλωματικά γραφεία και πρεσβείες, εταιρείες ενέργειας, πετρελαίου και φυσικού αερίου, ερευνητικοί οργανισμοί και ακτιβιστές.

Θύματα αυτής της στοχευμένης επίθεσης έχουν βρεθεί σε 31 χώρες ανά τον κόσμο – από τη Μέση Ανατολή και την Ευρώπη μέχρι την Αφρική και την Αμερική.

Βασικός στόχος των επιτιθέμενων είναι να συγκεντρώσουν ευαίσθητα δεδομένα από τα «μολυσμένα» συστήματα. Σε αυτά συμπεριλαμβάνονται έγγραφα, αλλά και διάφορα κλειδιά κρυπτογράφησης, ρυθμίσεις VPN, κλειδιά SSH (ως μέσο αναγνώρισης ενός χρήστη σε έναν server SSH), καθώς και αρχεία RDP (αρχεία που χρησιμοποιούνται από τον Remote Desktop Client για να ανοίγει αυτόματα μια σύνδεση).

Οι ερευνητές της Kaspersky Lab αντιλήφθηκαν για πρώτη φορά την απειλή αυτή πέρσι, όταν παρατήρησαν προσπάθειες εκμετάλλευσης μίας ευπάθειας των προϊόντων της εταιρείας, η οποία είχε διορθωθεί πέντε χρόνια πριν.

Το exploit έδινε στο κακόβουλο λογισμικό τη δυνατότητα να αποφύγει τον εντοπισμό. Φυσικά, η κατάσταση αυτή προκάλεσε το ενδιαφέρον της εταιρείας και έτσι ξεκίνησε η έρευνα.

Για τα θύματα του, ο ιός Careto μπορεί να έχει καταστροφικά αποτελέσματα. Παρακολουθεί όλα τα κανάλια επικοινωνίας και συλλέγει τις πιο ζωτικής σημασίας πληροφορίες από το μηχάνημα του θύματος.

Ο εντοπισμός του είναι εξαιρετικά δύσκολος, λόγω των υψηλών δυνατοτήτων stealth rootkit, των ενσωματωμένων λειτουργιών του και των επιπρόσθετων μονάδων ψηφιακής κατασκοπείας.

[wdca_ad id=”73652″ ]

Βασικά Ευρήματα:

  • Φαίνεται ότι η ισπανική γλώσσα είναι η μητρική αυτών που ανέπτυξαν την απειλή, κάτι που έχει παρατηρηθεί πολύ σπάνια σε αντίστοιχες επιθέσεις.
  • Η εκστρατεία ήταν ενεργή για τουλάχιστον πέντε χρόνια μέχρι τον Ιανουάριο του 2014 (μερικά δείγματα του Careto φαίνεται ότι αναπτύχθηκα από το 2007). Κατά τη διάρκεια των ερευνών της Kaspersky Lab,  είχε τερματιστεί η λειτουργία των command-and-control servers.
  • Πάνω από 380 θύματα έχουν εντοπιστεί σε περισσότερες από 1.000 διευθύνσεις IP. Τα θύματα έχουν εντοπιστεί σε 31 χώρες μεταξύ των οποίων στις ΗΠΑ, την Αργεντινή, τη Βραζιλία, την Κίνα, τη Γαλλία, τη Γερμανία, το Ιράν, το Ιράκ, την Αίγυπτο, τη Νορβηγία, το Πακιστάν, την Ισπανία, την Ελβετία, την Τουρκία και το Ηνωμένο Βασίλειο.
  • Η πολυπλοκότητα και το παγκόσμιο αποτύπωμα των εργαλείων που χρησιμοποιήθηκαν από τους επιτιθέμενους καθιστά αυτή την επιχείρηση ψηφιακής κατασκοπείας πολύ ιδιαίτερη, ενώ υπήρξε και προσαρμοσμένη επίθεση κατά των προϊόντων της Kaspersky Lab.
  • Μεταξύ άλλων εργαλείων, χρησιμοποιήθηκε και τουλάχιστον ένα Adobe Flash Player exploit (CVE-2012-0773). Το exploit αυτό είχε σχεδιαστεί για τις εκδόσεις του Flash Player πριν από τις εκδόσεις 10.3 και 11.2.

Σύμφωνα με την ανάλυση της Kaspersky Lab, η εκστρατεία The Mask στηρίζεται σε επιθετικά phishing emails, με links που οδηγούσαν σε μια κακόβουλη ιστοσελίδα. Η κακόβουλη ιστοσελίδα περιέχει μια σειρά exploits σχεδιασμένα για να «μολύνουν» τον επισκέπτη, ανάλογα με τις ρυθμίσεις του συστήματος του.

Μετά την επιτυχημένη «μόλυνση», η κακόβουλη ιστοσελίδα ανακατευθύνει τον χρήστη στην ασφαλή διεύθυνση που αναφερόταν στο e-mail, η οποία μπορεί να είναι ένα βίντεο στο YouTube ή ένα ενημερωτικό portal.

Για περισσότερες πληροφορίες μπορείτε να διαβάσετε την πλήρη έκθεση.

The_Mask

Πηγή: e-pcmag.gr

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS