Sofistikerat cyber-spionageverktyg avslöjat
Det ryska antivirusföretaget Kaspersky Lab upptäckte ”The Mask” (aka Careto), som är en avancerad spanskspråkig skalig kod, som varit inblandat i världsomfattande cyber-spionageoperationer åtminstone sedan 2007.
Det som gör masken speciell är komplexiteten i verktygsuppsättningen, som används av angriparna, inklusive en mycket sofistikerad skadlig programvara, ett rootkit, ett bootkit, OS X och Linux versioner och eventuellt versioner för Android och iOS (iPad/iPhone).
De primära målen är statliga institutioner, diplomatiska kontor och ambassader, energi, olje- och gasföretag, forskningsorganisationer och aktivister. Offren för denna riktade attacker har hittats i 31 länder runt om i världen – från Mellanöstern och Europa till Afrika och Amerika.
Det huvudsakliga målet för angriparna är att samla in känsliga uppgifter från de infekterade systemen. Dessa inkluderar Office-dokument, men också olika krypteringsnycklar, VPN-konfigurationer, SSH-nycklar (används som ett sätt att identifiera användare av en SSH-server) och RDP-filer (som används av Remote Desktop klienten för att automatiskt öppna en anslutning till en dator).
Forskarna hos Kaspersky Lab blev först medvetna om Careto förra året, när de observerade försök att utnyttja en sårbarhet i företagets egna produkter, som hade åtgärdats fem år tidigare. Utnyttjandet försåg den skadliga programvaran med egenskapen att undvika upptäckt. Naturligtvis väckte denna situation deras intresse och detta var hur undersökningen startade.
För offren kan en infektion med Careto bli förödande. Careto fångar upp alla kommunikationskanaler och samlar in den mest vitala informationen från offrets dator. Upptäckt av detta är extremt svårt på grund av stealth-root-kit-förmågor, inbyggda funktioner och extra cyber-spionage moduler.
Huvudsakliga iakttagelser hos Careto
Författarna verkar ha det spanska språket som modersmål, vilket mycket sällan har observerats i APT-attacker (riktade attacker).
Angreppet var aktivt under minst fem år tills januari 2014 (vissa Careto prover samlades in 2007). Under Kaspersky Labs undersökningar stängdes kommando- och övervakningsservrarna (C&C) ner.
Över 380 unika offer på över 1000 IP-adresser. Infektioner har observerats i: Algeriet, Argentina, Belgien, Bolivia, Brasilien, Kina, Colombia, Costa Rica, Kuba, Egypten, Frankrike, Tyskland, Gibraltar, Guatemala, Iran, Irak, Libyen, Malaysia, Mexiko, Marocko, Norge, Pakistan, Polen, Sydafrika, Spanien, Schweiz, Tunisien, Turkiet, Storbritannien, USA och Venezuela.
Den komplexitet och allmängiltighet hos verktygsuppsättningen som använts av angriparna gör denna cyber-spionageoperation mycket speciell. Detta inkluderar samverkan mellan nyttjande av en ett säkerhetshål, en oerhört sofistikerad skadlig programvara, ett root-kit, ett boot-kit, Mac OS X och Linux versioner och eventuellt versioner för Android och iPad/iPhone (iOS). Masken använde även en anpassad för angrepp mot Kaspersky Labs ant-virus produkter.
Tittar man på angreppsvektorer så används minst ett Adobe Flash Player-säkerhetshål (CVE-2012-0773). Det var utformat för Flash Players versioner före 10.3 och 11.2. Detta säkerhetshål upptäcktes av VUPENoch användes 2012 för att undkomma Google Chrome-sandlådan för att vinna CanSecWest Pwn2Own tävlingen.
Funktionalitet och infektionsmetoder
Maskens angreppssätt bygger på spjutspets-phishing (spearfishing) av e-postmeddelanden med länkar till en skadlig webbplats. Den skadliga webbplatsen innehåller ett antal kryphål för att infektera besökaren beroende på systemkonfiguration. Vid framgångsrik infektion omdirigerar sedan den skadliga webbplatsen användaren till den godartade webbplatsen, som refereras till i e-postmeddelandet, vilket kan vara en YouTube-film eller en nyhetsportal.
Det är viktigt att observera att utnyttjade webbplatser inte automatiskt infekterar besökare. I stället förvarar angriparna kryphålen på speciella mappar på webbplatsen, vilka inte är direkt refererade till någonstans, utom i skadliga e-postmeddelanden. Ibland kan angripare använda underdomäner på utnyttjade webbplatser, för att få dem att se mer verkliga ut. Dessa underdomäner simulerar underavdelningar av stora tidningar i Spanien plus några internationella som exempelvis The Guardian och Washington Post.
Den skadliga programvaran fångar upp alla kommunikationskanaler och samlar de mest vitala informationen från de infekterade system. Att upptäcka detta är extremt svårt på grund av stealth-root-kit-förmågor. Careto är ett mycket modulärt system. Det stöder plug-ins och konfigurationsfiler, som tillåter den att utföra ett stort antal funktioner. Förutom inbyggd funktionalitet kunde Caretos operatörer överföra ytterligare moduler, vilka kan utföra vilken skadlig uppgift som helst.