Будинки Securitywatch Злом маски перевищує все, що ми бачили досі

Злом маски перевищує все, що ми бачили досі

Відео: FUNNY MASK AND LIFE HACK TIPS (DIY Ideas) - Onyx Life (Листопад 2024)

Відео: FUNNY MASK AND LIFE HACK TIPS (DIY Ideas) - Onyx Life (Листопад 2024)
Anonim

Дослідники лабораторії Касперського розкрили операцію з кібер-шпигунства проти урядових, енергетичних, нафтових та газових організацій у всьому світі, використовуючи найскладніший набір інструментів, який бачив на сьогоднішній день. Компанія заявила, що операція мала всі ознаки нападу національної держави.

Костін Райу, директор групи глобальних досліджень та аналізу лабораторії Касперського, та його команда розкрили деталі "Маски" на саміті аналітиків безпеки лабораторії Касперського в понеділок, описуючи, як операція використовувала руткіт, завантажувальну програму та зловмисне програмне забезпечення, розроблене для Windows, Mac OS X та Linux. Можливо, навіть існують версії використовуваних шкідливих програм для Android та iOS. За всіма показниками «Маска» - це елітна національно-державна кампанія, і її структура є ще більш складною, ніж кампанія «Полум’я», пов’язана зі Stuxnet.

"Це одне з найкращих, що я бачив. Раніше найкращою групою APT була група" Flame ", але тепер це міняє мою думку через спосіб управління інфраструктурою та спосіб реагування на загрози, швидкість реакції та професіоналізм ", - сказав Райу. Маска виходить за межі «Полум’я та всього іншого, що ми бачили досі».

Операція пройшла непомітно протягом п’яти років і торкнулася 380 жертв приблизно з понад 1000 цільових IP-адрес, що належать державним структурам, дипломатичним відомствам та посольствам, науково-дослідним інститутам та активістам. Список постраждалих країн довгий, зокрема Алжир, Аргентина, Бельгія, Болівія, Бразилія, Китай, Колумбія, Коста-Ріка, Куба, Єгипет, Франція, Німеччина, Гібралтар, Гватемала, Іран, Ірак, Лівія, Малайзія, Мексика, Марокко, Норвегія, Пакистан, Польща, Південна Африка, Іспанія, Швейцарія, Туніс, Туреччина, Великобританія, США та Венесуела.

Розпакування маски

Маска, також названа Careto, викрадає документи та ключі шифрування, інформацію про конфігурацію для віртуальної приватної мережі (VPN), ключі для безпечної оболонки (SSH) та файли для клієнта віддаленого робочого столу. Він також витирає з журналу сліди своєї діяльності. Лабораторія Касперського заявила, що зловмисне програмне забезпечення має модульну архітектуру та підтримує додатки та файли конфігурації. Він також може бути оновлений новими модулями. Зловмисне програмне забезпечення також намагалося використовувати старішу версію програмного забезпечення безпеки Касперського.

"Це намагається зловживати одним із наших компонентів, щоб приховати", - сказав Райу.

Атака починається зі спис-фішингових електронних листів із посиланнями на зловмисну ​​URL-адресу, що розміщує декілька подвигів, перш ніж остаточно доставити користувачів на законний сайт, на який посилається в тілі повідомлення. У цей момент зловмисники контролюють зв’язок зараженої машини.

Зловмисники застосували подвиг, який націлив на вразливість Adobe Flash Player, який дозволяє зловмисникам обходити пісочницю в Google Chrome. Уразливість вперше була успішно використана під час конкурсу Pwn2Own на CanSecWest ще у 2012 році французьким брокером по вразливості VUPEN. VUPEN відмовився розголошувати подробиці того, як вона здійснила атаку, сказавши, що хоче зберегти її для своїх клієнтів. Райу прямо не сказав, що використаний у "Масці" подвиг був таким самим, як і VUPEN, але підтвердив, що це однакова вразливість. "Можливо, хтось сам себе експлуатує", - сказав Райу.

VUPEN взяв у Twitter, щоб заперечувати, що його експлуатація була використана в цій операції, кажучи: "Наше офіційне твердження про #Mask: експлуатація не наша, ймовірно, її було знайдено шляхом розмежування виправлення, випущеного Adobe після # Pwn2Own". Іншими словами, зловмисники порівняли виправлений Flash Player із неперевершеним виданням, викреслили відмінності та вивели характер експлуатації.

Де зараз Маска?

Коли Касперський опублікував тизер The Mask у своєму блозі минулого тижня, зловмисники почали припиняти свою діяльність, сказав Райу. Той факт, що зловмисники змогли закрити свою інфраструктуру протягом чотирьох годин після того, як Касперський опублікував тизер, свідчить про те, що зловмисники були справді професійними, сказав Хайме Бласко, директор з досліджень лабораторії AlienVault.

Поки Лабораторія Касперського закрила сервери команд і управління, які виявили, пов'язані з операцією, і Apple закрила домени, пов'язані з версією експлуатації Mac, Райу вважає, що вони є лише "знімком" загальної інфраструктури. "Я підозрюю, що ми бачимо дуже вузьке вікно їхньої роботи", - сказав Райу.

Хоча легко припустити, що оскільки в іспанському коді були коментарі, що зловмисники були з іспаномовної країни, Райу зазначив, що зловмисники могли легко використати іншу мову як червоний прапор, щоб відкинути слідчих поза колій. Де зараз Маска? Ми просто не знаємо.

Злом маски перевищує все, що ми бачили досі