" Die Maske" : Eine der fortschrittlichsten globalen Cyber- Spionage- Operationen
Kaspersky Lab Deckt
nach Datum Aufgrund der Komplexität des Toolset
Wird von den Angreifer
11. Februar 2014
Viren-News
Neue Bedrohungsakteur : Spanisch sprechenden Angreifer
gezielt Regierungsinstitutionen, Energie, Öl & Gas-Unternehmen und andere
hochkarätige Opfer über Cross-Plattform- Malware- Toolkit
Heute Kaspersky -Lab- Sicherheitsforschungsteamdie
Entdeckung von "The Mask" (aka Careto ) , einem fortgeschrittenen
spanischsprachige sprechende Schauspieler , die Bedrohung der globalen Cyber-
Spionageoperationen mindestens seit 2007 beteiligt war . Was macht die Maske
besonders ist, die Komplexität der Toolset von den Angreifern eingesetzt. Dies
beinhaltet eine extrem anspruchsvolle Malware, Rootkit , ein Bootkit , Mac OS X
und Linux-Versionen und möglicherweise Versionen für Android und iOS (iPad /
iPhone).
Die primären Ziele sind staatliche Institutionen ,
diplomatischen Vertretungen und Botschaften , Energie -, Öl- und Gasunternehmen
, Forschungsorganisationen und Aktivisten. Aus dem Nahen Osten und Europa nach
Afrika und Amerika - Opfer dieser gezielten Angriff haben in 31 Ländern auf der
ganzen Welt gefunden .
Das Hauptziel der Angreifer ist es, sensible Daten aus
den infizierten Systemen zu sammeln. Dazu gehören Office-Dokumente, sondern auch
verschiedene Verschlüsselungsschlüssel , VPN-Konfigurationen , SSH-Schlüssel (
als Mittel der Identifikation eines Benutzers zu einem SSH-Server dient) und
RDP- Dateien (von der Remote Desktop Client verwendet, um eine Verbindung zum
Computer automatisch öffnen vorbehalten ) .
" Mehrere Gründe machen uns glauben, dies könnte ein
Nationalstaat gesponserte Kampagne sein. Zunächst beobachteten wir einen sehr
hohen Grad an Professionalität in den operativen Verfahren der Gruppe hinter
diesem Angriff . Von Infrastruktur-Management , Herunterfahren des Betriebs ,
Vermeidung von neugierigen Augen durch Zugriffsregeln und Nutzen statt Wischen
Löschen von Log-Dateien. Diese verbinden sich , um dieses APT vor Duqu in Bezug
auf Raffinesse legen , ist eines der modernsten Bedrohungen im Moment ", sagte
Costin Raiu , Leiter des Global Research und Analysis Team (GREAT ) an Kaspersky
Lab.
"Das Maß an Betriebssicherheit ist nicht normal für
Cyber- kriminellen Gruppen . "
Kaspersky-Lab- Forscher zunächst bewusst wurde Careto
letzten Jahr, als sie beobachteten, versucht, eine Schwachstelle in den
Produkten des Unternehmens , das vor fünf Jahren festgelegt wurde, zu nutzen.
Der Exploit sofern die Malware die Fähigkeit, nicht entdeckt zu werden .
Natürlich erhöht sich diese Situation das Interesse und das ist, wie die
Untersuchung gestartet.
Für die Opfer kann eine Infektion mit Careto
verheerend sein. Careto fängt alle Kommunikationskanäle und sammelt die
wichtigsten Informationen aus dem Rechner des Opfers . Der Nachweis ist wegen
der Stealth- Rootkit-Fähigkeiten , integrierte Funktionalitäten und zusätzliche
Cyber- Spionage -Module extrem schwierig.
Die wichtigsten Ergebnisse :
· Die Autoren erscheinen heimisch werden in der
spanischen Sprache , die sehr selten in APT -Attacken beobachtet.
· Die Kampagne war aktiv für mindestens fünf Jahre bis
Januar 2014 ( einige Careto Proben wurden im Jahr 2007 erstellt ) . Im Verlauf
der Untersuchungen von Kaspersky Lab wurden die Command-and -Control- (C & C
)-Server heruntergefahren wird.
· Wir zählten über 380 einzigartige Opfer zwischen
1000 IPs . Algerien, Argentinien, Belgien, Bolivien, Brasilien, China,
Kolumbien, Costa Rica , Kuba, Ägypten, Frankreich, Deutschland, Gibraltar ,
Guatemala, Iran , Irak, Libyen , Malaysia, Marokko, Mexiko, Norwegen,
Österreich, Pakistan : Infektionen wurden in beobachtet , Polen , Südafrika ,
Spanien, Schweiz , Tunesien, Türkei , Großbritannien , USA und Venezuela.
· Die Komplexität und Universalität des Toolsets
von den Angreifern verwendet macht diese Cyber- Spionage Betrieb ganz
Besonderes. Dies schließt die Nutzung High-End- Exploits , ein extrem
anspruchsvolles Stück von Malware, Rootkits , ein Bootkit , Mac OS X und
Linux-Versionen und möglicherweise Versionen für Android und iPad / iPhone (iOS
) . Die Maske verwendet auch eine maßgeschneiderte Angriff gegen Produkte von
Kaspersky Lab.
· Unter den Angriff Vektoren, mindestens einen Adobe
Flash Player zu nutzen (CVE-2012 - 0773 ) verwendet wurde. Es wurde für Flash
Player -Versionen vor 10.3 und 11.2 ausgelegt. Dieser Exploit wurde ursprünglich
von VUPEN entdeckt und wurde 2012 eingesetzt , um die Google Chrome Sandbox
entkommen , um die CanSecWest Pwn2Own -Wettbewerb zu gewinnen.
Infektion Methoden & Funktionalität
Laut Kaspersky -Lab- Analyse -Bericht setzt die Maske
Kampagne auf Spear-Phishing -E-Mails mit Links zu einer bösartigen Website. Der
bösartige Website enthält eine Reihe von Exploits entwickelt, um die Besucher zu
infizieren , je nach Systemkonfiguration . Nach erfolgreicher Infektion leitet
der bösartige Website den Benutzer auf die Website gutartige in der E- Mail, die
ein YouTube-Film oder ein Nachrichtenportal sein kann, verwiesen .
Es ist wichtig zu beachten, der Exploit -Websites
nicht automatisch Besuchern zu infizieren , sondern die Angreifer Gastgeber die
Heldentaten auf bestimmte Ordner auf der Website, die nicht direkt überall
referenziert werden , außer in bösartigen E-Mails. Manchmal verwenden die
Angreifer Subdomains auf den kriminellen Websites , um sie realer erscheinen .
Diese Subdomains simulieren Unterabschnitten der wichtigsten Zeitungen in
Spanien und einigen internationalen, zum Beispiel, "The Guardian" und "
Washington Post" .
Die Malware fängt alle Kommunikationskanäle und
sammelt die wichtigsten Informationen aus dem infizierten System . Der Nachweis
ist wegen der Stealth- Rootkit-Fähigkeiten extrem schwierig. Careto basiert auf
einem modularen System, es unterstützt Plugins und Konfigurationsdateien, die es
um eine große Anzahl von Funktionen ausführen können. Neben den integrierten
Funktionen , konnten die Betreiber von Careto zusätzliche Module, die jede
böswillige Aufgabe konnte hochladen.
Produkte von Kaspersky Lab erkennt und entfernt alle
bekannten Versionen von The Mask / Careto Malware .
Den vollständigen Bericht mit einer detaillierten
Beschreibung der bösartigen Werkzeuge und Statistiken zusammen mit Indikatoren
des Kompromisses zu lesen, finden Secure . Eine vollständige FAQ ist auch hier
vorhanden.
http://www.kaspersky.com/about/news/virus/2014/Kaspersky-Lab-Uncovers-The-Mask-One-of-the-Most-Advanced-Global-Cyber-espionage-Operations-to-Date-Due-to-the-Complexity-of-the-Toolset-Used-by-the-Attackers