Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Sikkerhedseksperterne hos Kaspersky Lab kan i dag rapportere opdagelsen af "The Mask" (på spansk: ”Careto”), som er et avanceret ”spansktalende” internet-angreb, der har været involveret i en global cyberspionage-kampagne siden 2007.
Der er tale om et hidtil uset trusselsbillede i APT-kategorien (Advanced Persistent Threat). Det der gør ”The Mask” unik, er kompleksiteten af den teknik, som de cyber-kriminelle anvender. Der er tale om sprængfarlig cocktail, der består af en yderst sofistikeret malware, et rootkit, et bootkit, både Mac OS X og Linux-versioner samt eventuelt versioner til Android og iOS (iPad / iPhone).
De primære mål er statslige institutioner, diplomatiske kontorer og ambassader, energi, olie- og gasselskaber samt forskningsorganisationer og aktivister. Ofrene for disse målrettede angreb er blevet fundet i 31 lande verden over – fra Mellemøsten og Europa til Afrika og Amerika.
Stjæler følsomme informationer
Hovedformålet med angrebet er at indsamle følsomme data fra inficerede systemer. Bagmændene går efter dokumenter og adgangsinformationer, for at kunne udnytte systemer og opsnappe kritiske informationer. Dette omfatter office-dokumenter, forskellige krypteringsnøgler, VPN-konfigurationer, SSH-nøgler (som identificerer en bruger på en SSH server) og RDP-filer (bruges af fjernopkoblingen til at åbne forbindelse til brugerens computer).
Statssponsoreret it-angreb
"Der er flere grunde til, at vi mener, at dette kunne være et statssponsoreret angreb”, siger Costin Raiu, Director, Global Research and Analysis Team hos Kaspersky Lab.
”Først og fremmest observerede vi en meget høj grad af professionalisme i de operationelle procedurer hos gruppen bag dette angreb. De har en avanceret infrastruktur, processer for nedlukning af kampagnen samt undgåelse af nysgerrige blikke via særlige adgangsregler, og de benytter ’wiping’ fremfor almindelige sletning af logfiler. Det er et niveau af operationel sikkerhed, som ikke er normalt for cyber-kriminelle grupper og som gør ”The Mask” til en af de mest avancerede og alvorligste trusler i øjeblikket”, forklarer Costin Raiu.
Kaspersky Lab vurderer at ”The Mask” overgår tidligere, lignende angreb, som f.eks. Duqu, der var et angreb i samme klasse. Forskerne hos Kaspersky Lab blev først opmærksomme på ”Careto”, eller ”Masken”, sidste år da de observerede gentagne forsøg på at udnytte en sårbarhed i Kaspersky Labs egne produkter, som blev løst for fem år siden. En sårbarhed som sikrede malwaren evnen til at undgå opdagelse. Denne hændelse løftede forskernes interesse betydeligt, og sådan startede undersøgelsen.
Hvad gør The Mask?
Angrebet er bygget op omkring spear-phishing e-mails, der indeholder links til en ondsindet hjemmeside. Siden indeholder en række exploits, der er designet til at inficere de besøgende, afhængigt af systemets konfiguration. Efter en vellykket infektion omdirigeres brugeren til den rigtige hjemmeside, der refereres til i e-mailen, som kan være en YouTube-film eller en nyhedsportal.
Angriberne gør endvidere brug af særlige sub-domæner på de ondsindede hjemmesider, som simulerer underafsnit af de vigtigste aviser i Spanien, samt internationale aviser som f.eks. The Guardian og Washington Post. Ud over den indbyggede funktionalitet i det direkte angreb kan operatørerne af ”The Mask” uploade yderligere moduler, der kan udføre enhver ondsindet opgave på brugerens systemer.
Mere om metoden for ”The Mask”:
• Forfatterne bag koden synes at være indfødte i det spanske sprog, hvilket er meget sjældent for APT angreb
• Kampagnen var aktiv i mindst fem år indtil januar 2014 (nogle Careto-eksempler blev udarbejdet i 2007). I løbet af Kaspersky Labs undersøgelser blev ”command-and-control” (C&C) serverne lukket ned
• Kaspersky Lab har talt over 380 unikke ofre på over 1000 IP-adresser. Inficerede systemer er blevet observeret i Algeriet, Argentina, Belgien, Bolivia, Brasilien, Kina, Colombia, Costa Rica, Cuba, Egypten, Frankrig, Tyskland, Gibraltar, Guatemala, Iran, Irak, Libyen, Malaysia, Mexico, Marokko, Norge, Pakistan, Polen, Sydafrika, Spanien, Schweiz, Tunesien, Tyrkiet, Storbritannien, USA og Venezuela
• Blandt de angrebsvektorer som benyttes er mindst ét Adobe Flash Player exploit (CVE-2012 -0773 ) blevet anvendt. Dette var designet til Flash Player version før 10.3 og 11.2.
Kaspersky Labs produkter opdager og fjerner alle kendte udgaver af ”The Mask” / Careto malware. Den fulde rapport med detaljeret beskrivelse af de ondsindede værktøjer, statistik samt indikatorer for angreb, kan læses på Securelist. Her findes også en komplet FAQ.