Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
 kyb. Waffen Waffenkategorie Spionage Sabotage Schläfer Spezialwaffen Analyse W.-Entwicklung Sonderwaffen Katalog
Roter Oktober  T u r l aSlingshot Slingshor V i p e r  Agent.Btx  Bundestrojaner  Conficker  ChameleonD u Q Flame Gauss   Mini Flame FrameGaussIcefogMahdiMask/ CaretoMini DukeObad aReginD u q
Die kybernetischen Kampfmittel

Die kybernetischen Waffen

Aufklärungs und Spionagewaffen

The Mask 
oder
Careto

Hochprofessionelle kybernetische Spionagewaffe

The Mask”: One of the Most Advanced Global Cyber-espionage Operations)

Die Maske" : Eine der fortschrittlichsten globalen Cyber- Spionage- Operationen...

The Careto / Mask APT : Häufig gestellte Fragen

...

 

 
 

 " Die Maske" : Eine der fortschrittlichsten globalen Cyber- Spionage- Operationen

Kaspersky Lab Deckt

nach Datum Aufgrund der Komplexität des Toolset Wird von den Angreifer
11. Februar 2014
Viren-News


Neue Bedrohungsakteur : Spanisch sprechenden Angreifer gezielt Regierungsinstitutionen, Energie, Öl & Gas-Unternehmen und andere hochkarätige Opfer über Cross-Plattform- Malware- Toolkit


Heute Kaspersky -Lab- Sicherheitsforschungsteamdie Entdeckung von "The Mask" (aka Careto ) , einem fortgeschrittenen spanischsprachige sprechende Schauspieler , die Bedrohung der globalen Cyber- Spionageoperationen mindestens seit 2007 beteiligt war . Was macht die Maske besonders ist, die Komplexität der Toolset von den Angreifern eingesetzt. Dies beinhaltet eine extrem anspruchsvolle Malware, Rootkit , ein Bootkit , Mac OS X und Linux-Versionen und möglicherweise Versionen für Android und iOS (iPad / iPhone).


Die primären Ziele sind staatliche Institutionen , diplomatischen Vertretungen und Botschaften , Energie -, Öl- und Gasunternehmen , Forschungsorganisationen und Aktivisten. Aus dem Nahen Osten und Europa nach Afrika und Amerika - Opfer dieser gezielten Angriff haben in 31 Ländern auf der ganzen Welt gefunden .


Das Hauptziel der Angreifer ist es, sensible Daten aus den infizierten Systemen zu sammeln. Dazu gehören Office-Dokumente, sondern auch verschiedene Verschlüsselungsschlüssel , VPN-Konfigurationen , SSH-Schlüssel ( als Mittel der Identifikation eines Benutzers zu einem SSH-Server dient) und RDP- Dateien (von der Remote Desktop Client verwendet, um eine Verbindung zum Computer automatisch öffnen vorbehalten ) .

" Mehrere Gründe machen uns glauben, dies könnte ein Nationalstaat gesponserte Kampagne sein. Zunächst beobachteten wir einen sehr hohen Grad an Professionalität in den operativen Verfahren der Gruppe hinter diesem Angriff . Von Infrastruktur-Management , Herunterfahren des Betriebs , Vermeidung von neugierigen Augen durch Zugriffsregeln und Nutzen statt Wischen Löschen von Log-Dateien. Diese verbinden sich , um dieses APT vor Duqu in Bezug auf Raffinesse legen , ist eines der modernsten Bedrohungen im Moment ", sagte Costin Raiu , Leiter des Global Research und Analysis Team (GREAT ) an Kaspersky Lab.
"Das Maß an Betriebssicherheit ist nicht normal für Cyber- kriminellen Gruppen . "
Kaspersky-Lab- Forscher zunächst bewusst wurde Careto letzten Jahr, als sie beobachteten, versucht, eine Schwachstelle in den Produkten des Unternehmens , das vor fünf Jahren festgelegt wurde, zu nutzen. Der Exploit sofern die Malware die Fähigkeit, nicht entdeckt zu werden . Natürlich erhöht sich diese Situation das Interesse und das ist, wie die Untersuchung gestartet.
Für die Opfer kann eine Infektion mit Careto verheerend sein. Careto fängt alle Kommunikationskanäle und sammelt die wichtigsten Informationen aus dem Rechner des Opfers . Der Nachweis ist wegen der Stealth- Rootkit-Fähigkeiten , integrierte Funktionalitäten und zusätzliche Cyber- Spionage -Module extrem schwierig.


Die wichtigsten Ergebnisse :

· Die Autoren erscheinen heimisch werden in der spanischen Sprache , die sehr selten in APT -Attacken beobachtet.
· Die Kampagne war aktiv für mindestens fünf Jahre bis Januar 2014 ( einige Careto Proben wurden im Jahr 2007 erstellt ) . Im Verlauf der Untersuchungen von Kaspersky Lab wurden die Command-and -Control- (C & C )-Server heruntergefahren wird.
· Wir zählten über 380 einzigartige Opfer zwischen 1000 IPs . Algerien, Argentinien, Belgien, Bolivien, Brasilien, China, Kolumbien, Costa Rica , Kuba, Ägypten, Frankreich, Deutschland, Gibraltar , Guatemala, Iran , Irak, Libyen , Malaysia, Marokko, Mexiko, Norwegen, Österreich, Pakistan : Infektionen wurden in beobachtet , Polen , Südafrika , Spanien, Schweiz , Tunesien, Türkei , Großbritannien , USA und Venezuela.

· Die Komplexität und Universalität des Toolsets von den Angreifern verwendet macht diese Cyber- Spionage Betrieb ganz Besonderes. Dies schließt die Nutzung High-End- Exploits , ein extrem anspruchsvolles Stück von Malware, Rootkits , ein Bootkit , Mac OS X und Linux-Versionen und möglicherweise Versionen für Android und iPad / iPhone (iOS ) . Die Maske verwendet auch eine maßgeschneiderte Angriff gegen Produkte von Kaspersky Lab.
· Unter den Angriff Vektoren, mindestens einen Adobe Flash Player zu nutzen (CVE-2012 - 0773 ) verwendet wurde. Es wurde für Flash Player -Versionen vor 10.3 und 11.2 ausgelegt. Dieser Exploit wurde ursprünglich von VUPEN entdeckt und wurde 2012 eingesetzt , um die Google Chrome Sandbox entkommen , um die CanSecWest Pwn2Own -Wettbewerb zu gewinnen.


Infektion Methoden & Funktionalität

Laut Kaspersky -Lab- Analyse -Bericht setzt die Maske Kampagne auf Spear-Phishing -E-Mails mit Links zu einer bösartigen Website. Der bösartige Website enthält eine Reihe von Exploits entwickelt, um die Besucher zu infizieren , je nach Systemkonfiguration . Nach erfolgreicher Infektion leitet der bösartige Website den Benutzer auf die Website gutartige in der E- Mail, die ein YouTube-Film oder ein Nachrichtenportal sein kann, verwiesen .
Es ist wichtig zu beachten, der Exploit -Websites nicht automatisch Besuchern zu infizieren , sondern die Angreifer Gastgeber die Heldentaten auf bestimmte Ordner auf der Website, die nicht direkt überall referenziert werden , außer in bösartigen E-Mails. Manchmal verwenden die Angreifer Subdomains auf den kriminellen Websites , um sie realer erscheinen . Diese Subdomains simulieren Unterabschnitten der wichtigsten Zeitungen in Spanien und einigen internationalen, zum Beispiel, "The Guardian" und " Washington Post" .


Die Malware fängt alle Kommunikationskanäle und sammelt die wichtigsten Informationen aus dem infizierten System . Der Nachweis ist wegen der Stealth- Rootkit-Fähigkeiten extrem schwierig. Careto basiert auf einem modularen System, es unterstützt Plugins und Konfigurationsdateien, die es um eine große Anzahl von Funktionen ausführen können. Neben den integrierten Funktionen , konnten die Betreiber von Careto zusätzliche Module, die jede böswillige Aufgabe konnte hochladen.
Produkte von Kaspersky Lab erkennt und entfernt alle bekannten Versionen von The Mask / Careto Malware .
Den vollständigen Bericht mit einer detaillierten Beschreibung der bösartigen Werkzeuge und Statistiken zusammen mit Indikatoren des Kompromisses zu lesen, finden Secure . Eine vollständige FAQ ist auch hier vorhanden.


 http://www.kaspersky.com/about/news/virus/2014/Kaspersky-Lab-Uncovers-The-Mask-One-of-the-Most-Advanced-Global-Cyber-espionage-Operations-to-Date-Due-to-the-Complexity-of-the-Toolset-Used-by-the-Attackers