Casa Securitywatch La maschera va oltre ogni cosa che abbiamo visto finora

La maschera va oltre ogni cosa che abbiamo visto finora

Video: Piante della casa con Home Assistant (Novembre 2024)

Video: Piante della casa con Home Assistant (Novembre 2024)
Anonim

I ricercatori di Kaspersky Lab hanno scoperto un'operazione di spionaggio informatico contro organizzazioni governative, energetiche, petrolifere e del gas in tutto il mondo utilizzando la gamma più sofisticata di strumenti finora visti. La società ha affermato che l'operazione aveva tutte le caratteristiche di essere un attacco di stato nazionale.

Costin Raiu, direttore del team globale di ricerca e analisi di Kaspersky Lab, e il suo team hanno smascherato i dettagli dietro "The Mask" al summit degli analisti di sicurezza di Kaspersky Lab lunedì, descrivendo come l'operazione ha utilizzato rootkit, bootkit e malware progettati per Windows, Mac OS X e Linux. Potrebbero anche esserci versioni di malware per Android e iOS utilizzate, ha affermato il team. A detta di tutti, The Mask è una campagna elitaria di stato-nazione e la sua struttura è ancora più sofisticata della campagna Flame associata a Stuxnet.

"Questo è uno dei migliori che abbia mai visto. In precedenza, il miglior gruppo APT era quello dietro Flame, ma ora ciò cambia la mia opinione a causa del modo in cui gestiscono l'infrastruttura e del modo in cui reagiscono alle minacce e della velocità di reazione e professionalità ", Ha detto Raiu. La maschera va "oltre la Fiamma e qualsiasi altra cosa che abbiamo visto finora."

L'operazione è rimasta inosservata per circa cinque anni e ha colpito 380 vittime circa di oltre 1.000 indirizzi IP mirati appartenenti a enti governativi, uffici diplomatici e ambasciate, istituti di ricerca e attivisti. L'elenco dei paesi interessati è lungo, tra cui Algeria, Argentina, Belgio, Bolivia, Brasile, Cina, Colombia, Costa Rica, Cuba, Egitto, Francia, Germania, Gibilterra, Guatemala, Iran, Iraq, Libia, Malesia, Messico, Marocco, Norvegia, Pakistan, Polonia, Sudafrica, Spagna, Svizzera, Tunisia, Turchia, Regno Unito, Stati Uniti e Venezuela.

Disimballare la maschera

The Mask, chiamato anche Careto, ruba documenti e chiavi di crittografia, informazioni di configurazione per reti private virtuali (VPN), chiavi per Secure Shell (SSH) e file per client desktop remoto. Cancella anche le tracce delle sue attività dal registro. Kaspersky Lab ha affermato che il malware ha un'architettura modulare e supporta plug-in e file di configurazione. Può anche essere aggiornato con nuovi moduli. Il malware ha anche tentato di sfruttare una versione precedente del software di sicurezza di Kaspersky.

"Sta cercando di abusare di uno dei nostri componenti per nasconderlo", ha detto Raiu.

L'attacco inizia con e-mail di spear-phishing con collegamenti a un URL malevolo che ospita più exploit prima di consegnare gli utenti al sito legittimo a cui si fa riferimento nel corpo del messaggio. A questo punto, gli aggressori hanno il controllo sulle comunicazioni della macchina infetta.

Gli aggressori hanno utilizzato un exploit mirato a una vulnerabilità in Adobe Flash Player che consente agli aggressori di ignorare la sandbox in Google Chrome. La vulnerabilità è stata sfruttata con successo durante il concorso Pwn2Own a CanSecWest nel 2012 dal broker di vulnerabilità francese VUPEN. VUPEN ha rifiutato di rivelare i dettagli di come ha eseguito l'attacco, dicendo che voleva salvarlo per i propri clienti. Raiu non ha affermato apertamente che l'exploit usato in The Mask era lo stesso di VUPEN, ma ha confermato che era la stessa vulnerabilità. "Forse qualcuno l'exploit stesso", ha detto Raiu.

VUPEN è andato su Twitter per negare che il suo exploit fosse stato utilizzato in questa operazione, dicendo: "La nostra dichiarazione ufficiale su #Mask: l'exploit non è la nostra, probabilmente è stata trovata diffondendo la patch rilasciata da Adobe dopo # Pwn2Own". In altre parole, gli aggressori hanno confrontato il Flash Player con patch con l'edizione senza patch, eliminando le differenze e deducendo la natura dell'exploit.

Dov'è The Mask Now?

Quando Kaspersky ha pubblicato un teaser di The Mask sul suo blog la scorsa settimana, gli aggressori hanno iniziato a chiudere le loro operazioni, ha detto Raiu. Il fatto che gli aggressori siano stati in grado di chiudere la propria infrastruttura entro quattro ore dalla pubblicazione di Kaspersky sul teaser indica che gli aggressori erano davvero professionali, ha affermato Jaime Blasco, direttore della ricerca presso AlienVault Labs.

Mentre Kaspersky Lab ha chiuso i server di comando e controllo che ha trovato associati all'operazione e Apple ha chiuso i domini associati alla versione Mac dell'exploit, Raiu ritiene che siano solo una "istantanea" dell'infrastruttura generale. "Sospetto che stiamo vedendo una finestra molto stretta sul loro funzionamento", ha detto Raiu.

Mentre è facile supporre che, poiché nel codice c'erano commenti in spagnolo sul fatto che gli aggressori provenivano da un paese di lingua spagnola, Raiu ha sottolineato che gli aggressori avrebbero potuto facilmente usare una lingua diversa come bandiera rossa per buttare gli investigatori fuori pista. Dov'è The Mask adesso? Semplicemente non lo sappiamo.

La maschera va oltre ogni cosa che abbiamo visto finora