Kompanija Kaspersky Lab otkrila grupu „Maska“

Kompanija Kaspersky Lab otkrila grupu„Maska“: jedna od najnaprednijih globalnih sajberšpijunskuh operacija današnjice zahvaljujući složenim i brojnim alatkama koje napadači koriste

Nova opasnost: Napadači koji govore španski jezik napadaju vladine institucije, energetske, naftne i gasne kompanije i druge žrtve visokog profila pomoću višeplatformskih alatki za malver.

Kaspersky LabBezbednosni istraživački tim kompanije Kaspersky Lab je objavio da je otkrio grupu „Maska“ (aka Careto), čiji članovi govore napredni španski, i koji su uključeni u globalne operacije sajber špijunaže još od 2007. godine. Ono što ovu grupu čini posebnom je kompleksnost alatki koje napadači koriste. Ovo uključuje visoko razvijen malver, rootkit, bootkit, Mac OS X i Linux verzije i verovatno verzije za Android i iOS (iPad/iPhone).

Glavne mete su vladine institucije, diplomatske kancelarije i ambasade, energetske, naftne i gas kompanije, istraživačke organizacije i aktivisti. Žrtve ovih ciljanih napada su pronađene u 31 državi širom sveta-od Srednjeg Istoka i Evrope do Afrike i Severne i Južne Amerike.

Glavni cilj napadača je da dođu do poverljivih podataka iz zaraženih sistema. Ovo uključuje poslovna dokumenta, ali i šifre za enkripciju, VPN konfiguracije, SSH šifre (koje služe za identifikaciju korisnika za korišćenje SSH servera) i RDP fajlove (koje koristi Remote Desktop Client za trenutno uspostavljanje konekcije na povezanomračunaru).

„Postoji nekoliko razloga zbog kojih verujemo da bi ovo mogla da bude kampanja kojz sponzoriše neka od država. Pre svega, uočili smo veoma visok nivo profesionalizma u akcijama grupe koja stoji iza ovog napada. Od upravljanja infrastrukturom, preko prekida operacije, do izbegavanja radoznalih pogleda pomoću pravila za pristup i korišćenja čišćenja umesto brisanja log fajlova. Sve ovo stavlja ovaj napad ispred afere Duqu u smislu razvoja, čineći ga jednim od najnaprednijih malvera danas“, rekao je Costin Raiu, direktor globalnog istraživačkog i analitičkog tima u kompaniji Kaspersky Lab. „Ovaj nivo operativne bezbednosti nije uobičajen za sajberkriminalne grupe.“

Istraživači iz kompanije Kaspersky Lab su prvi put čuli za Careto prošle godine kada su uočili pokušaje da se iskoriste slabe tačke uređaja kompanije što je bilo rešeno pre pet godina. To je omogućilo malveru da izbegne detektovanje. Naravno, ova situacija ih je zainteresovala i tako je počela istraga.

Za žrtve, infekcija koju izazove Careto može biti katastrofalna. Careto prekida sve komunikacijske kanale i sakuplja najbitnije podatke sa uređaja napadnutih korisnika. Detekcija je jako teška zbog skrivenihmogućnosti kojerootkitima, ugrađenih funkcija i dodatnih modula za sajber špijunažu.

Glavna otkrića:

  • Verovatno je da su pripadnici grupe govornici španskog jezika, što je vrlo retko u APT napadima.

  • Kampanja je bila aktivna najmanje pet godina do januara 2014 (neki Careto uzorci su bili sastavljeni 2007). Tokom istrage kompanije Kaspersky Lab, serveri za komande i kontrole su bili ugašeni.

  • Uočili smo preko 380 žrtvi između 1000+IPadresa. Problemi su uočeni u: Alžiru, Argentini, Belgiji, Boliviji, Brazilu, Kini, Kolumbiji, Kostariki, na Kubi, u Egiptu, Francuskoj, Nemačkoj, Gibraltaru, Gvatemali, Iranu, Iraku, Libiji, Maleziji, Meksiku, Maroku, Norveškoj, Pakistanu, Poljskoj, Južnoj Africi, Španiji, Švajcarskoj, Tunisu, Turskoj, Ujedinjenom Kraljevstvu, Sjedinjenim Američkim Državama i Venecueli.

  • Složenost i univerzalnost alatki koje koriste napadači čini ovu sajber špijunažu veoma posebnom. Ovo podrazumeva korišćenje vrhunskih eksploita, veoma razvijene vrste malvera, rootkit, bootkit, Mac OS X i Linux verzije i verovatno verzije za Android i iPad/iPhone (iOS). Ova grupa je takođe koristila neke komponente prilagođene napadima na programe kompanije Kaspersky Lab.

  • Među vektorima napada, najmanje jedan Adobe Flash Player eksploit (CVE-2012-0773) je korišćen. Napravljen je za Flash Player verzije pre 10.3 i 11.2. Ovaj eksploit je prvobitno bio otkriven od strane VUPEN-a i korišćen je 2012. godine da se izbegne Google Chrome sandbox kako bi pobedili na takmičenju Can SecWest Pwn2Own.

Metode infekcije i funkcionalnost

Prema analizi kompanije Kasperksy Lab, kampanja Maska se oslanja na spear-fišing mejlove sa linkovima koji vode do malicioznih sajtova. Ti veb sajtovi sadrže mnogo eksploita koji su napravljeni da zaraze korisnika, u zavisnosti od konfiguracije sistema. Nakon uspešne infekcije, maliciozni veb sajt usmerava korisnika na bezopasan veb sajt koji se nalazi u mejlu, koji može biti film na YouTube-u ili portal sa vestima.

Važno je napomenuti da eksploit veb sajtovine inficiraju posetioce automatski; umesto toga, napadači smeste eksploite u specijalne foldere na veb sajtu, koji nisu nigde direktno povezani, osim u malicioznim mejlovima. Ponekad, napadači koriste poddomene na eksploit veb sajtovima, kako bi ih učinili više verodostojnim. Ovi poddomeni simuliraju podsektore u najpoznatijim novinama u Španiji kao i nekim internacionalnim, kao što su Gardijan i Vašington Post.

Malver prekida sve komunikacijske kanale i sakuplja najbitnije podatke sa zaraženog sistema. Detekcija je jako teška zbog skrivenihmogućnosti koje rootkitima. Kareto je visoko modularni sistem; podržava plugin-ove i konfiguracijske fajlove, što mu omogućava da obavlja veliki broj funkcija. U dodatak ugrađenim funkcijama, operateri Kareta mogu da uvedu dodatne module koji mogu da obave bilo koji maliciozni posao.

Uređaji kompanije Kaspersky Lab detektuju i uklanjaju sve poznate verzije malvera grupe Maska/Careto.

Ako želite da pročitate ceo izveštaj sa detaljnim opisima malicioznih alatki i statistikama, zajedno sa indikatorima kompromisa, pogledajte Securelist. Ceo FAQ je takođe dostupan ovde.

O kompaniji Kaspersky Lab

Kompanija Kaspersky Lab je najveća privatna kompanija za proizvodnju zaštitnih programa za endpoint uređaje na svetu. Kompanija se nalazi među četiri najveća prodavca bezbednosnih programa za korisnike endpoint uređaja. Kroz njenu bogatu istoriju dužu od 16 godina kompanija Kaspersky Lab je ostala innovator u oblasti IT bezbednosti i obezbeđuje efikasna bezbednosna rešenja za velike kompanije, mala i srednja preduzeća i individualne potrošače. Kompanija Kaspersky Lab sa sedištem u Engleskoj, trenutno posluje u skoro 200 zemalja i oblasti širom sveta, obezbeđujući zaštitu za više od 300 miliona korisnika u svetu. Više informacija na www.kaspersky.com 

* Kompanija se nalazi na četvrtom mestu po rangiranju IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012. Ova procena je objavljena u izveštaju IDC report “Worldwide Endpoint Security 2013–2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Izveštaj je uključio proizvođače softvera prema zaradama koje su ostvarili od prodaje bezbednosnih programa za endpoint uređaje u 2012. godini.

newsmaster