Domov Varnostna ura Maska kramlja mimo vsega, kar smo videli doslej

Maska kramlja mimo vsega, kar smo videli doslej

Video: J. Krishnamurti - Brockwood Park 1976 - Sedmi pogovor z Bohmom in Shainbergom (November 2024)

Video: J. Krishnamurti - Brockwood Park 1976 - Sedmi pogovor z Bohmom in Shainbergom (November 2024)
Anonim

Raziskovalci laboratorija Kaspersky so odkrili operacijo kibernetskega vohunjenja proti vladnim, energetskim, naftnim in plinskim organizacijam po vsem svetu z uporabo najnaprednejših orodij, ki so jih do zdaj videli. Družba je dejala, da ima operacija vse znake napada nacionalne države.

Costin Raiu, direktor globalne raziskovalne in analitične skupine v laboratoriju Kaspersky, in njegova ekipa so v ponedeljek na vrhu Kaspersky Lab Security analitiki razkrili podrobnosti za "Masko", ki opisujejo, kako je operacija uporabljala rootkit, zagonsko programsko opremo in zlonamerno programsko opremo Windows, Mac OS X in Linux. V ekipi so morda celo uporabljene različice zlonamerne programske opreme za Android in iOS. Po vseh kazalnikih je Maska elitna nacionalna kampanja, njena struktura pa je še bolj izpopolnjena kot kampanja Plamen, povezana s Stuxnetom.

"To je eno najboljših, kar sem jih videl. Prej je bila najboljša skupina APT tista, ki stoji za Plamenom, zdaj pa to spreminja moje mnenje zaradi načina upravljanja infrastrukture in načina odzivanja na grožnje ter hitrosti reakcije in profesionalnosti, "Je dejal Raiu. Maska presega "Plamen in vse, kar smo videli doslej."

Operacija je približno pet let trajala neopažena in prizadela 380 žrtev približno več kot 1000 ciljnih naslovov IP, ki pripadajo vladnim subjektom, diplomatskim uradom in veleposlaništvom, raziskovalnim inštitutom in aktivistom. Seznam prizadetih držav je dolg, med drugim Alžirija, Argentina, Belgija, Bolivija, Brazilija, Kitajska, Kolumbija, Kostarika, Kuba, Egipt, Francija, Nemčija, Gibraltar, Gvatemala, Iran, Irak, Libija, Malezija, Mehika, Maroko, Norveška, Pakistan, Poljska, Južna Afrika, Španija, Švica, Tunizija, Turčija, Združeno kraljestvo, Združene države in Venezuela.

Odklepanje maske

Maska, imenovana tudi Careto, ukrade dokumente in šifrirne ključe, konfiguracijske informacije za navidezna zasebna omrežja (VPN), ključe za varno lupino (SSH) in datoteke za oddaljenega namiznega odjemalca. Iz dnevnika briše tudi sledi svojih dejavnosti. Kaspersky Lab je dejal, da ima zlonamerna programska oprema modularno arhitekturo in podpira vtičnike in konfiguracijske datoteke. Posodobiti ga je mogoče tudi z novimi moduli. Zlonamerna programska oprema je poskušala izkoristiti tudi starejšo različico varnostne programske opreme Kasperskyja.

"Poskusi zlorabiti eno od naših komponent, da se skrije, " je dejal Raiu.

Napad se začne z e-poštnimi sporočili z lažnim lažnim predstavljanjem s povezavami do zlonamernega URL-ja, ki gosti več podvigov, preden uporabnike na koncu dostavi na zakonito mesto, na katero se sklicuje telo telesa. Na tej točki imajo napadalci nadzor nad komunikacijami okuženega stroja.

Napadalci so uporabili eksploziv, ki je ciljal na ranljivost v Adobe Flash Playeru, ki napadalcem omogoča, da zaobidejo peskovnik v Google Chromu. Ranljivost je bila prvič uspešno izkoriščena med natečajem Pwn2Own na CanSecWest, leta 2012, pri francoskem posredniku za ranljivost VUPEN. VUPEN ni hotel razkriti podrobnosti, kako je izvedel napad, češ da ga želijo shraniti za svoje stranke. Raiu ni povsem povedal, da je bil izkoriščanje v Maski enako kot VUPEN, vendar je potrdil, da gre za isto ranljivost. "Mogoče kdo sam izkorišča, " je rekel Raiu.

VUPEN je na Twitterju zanikal, da je bil njegov izkoriščanje uporabljen v tej operaciji, rekoč: "Naša uradna izjava o # Masku: izkoriščanje ni naše, verjetno so ga našli z razlikovanjem popravka, ki ga je Adobe izdal po # Pwn2Own." Z drugimi besedami, napadalci so primerjali zakrpani Flash Player z neobremenjeno izdajo, odpravili razlike in sklepali o naravi izkoriščanja.

Kje je zdaj maska?

Ko je Kaspersky prejšnji teden na svojem blogu objavil dražitelj The Mask, so napadalci začeli ukiniti svoje delovanje, je dejal Raiu. Dejstvo, da so napadalci lahko zaprli svojo infrastrukturo v štirih urah po tem, ko je Kaspersky objavil teaser, kaže, da so bili napadalci resnično profesionalni, je dejal Jaime Blasco, direktor raziskav v AlienVault Labs.

Medtem ko je laboratorij Kaspersky ugasnil strežnike za vodenje in nadzor, ki so bili povezani z delovanjem, Apple pa je izključil domene, povezane z Mac različico izkoriščanja, Raiu meni, da so le "posnetek" celotne infrastrukture. "Sumim, da v njihovem delovanju vidimo zelo ozko okno, " je dejal Raiu.

Čeprav je enostavno domnevati, da so bili v španščini zapisani pripombe, da so bili napadalci iz špansko govoreče države, je Raiu opozoril, da bi napadalci zlahka uporabili drugačen jezik kot rdečo zastavo, da bi preiskovalce metali izven tira. Kje je zdaj Maska? Samo ne vemo.

Maska kramlja mimo vsega, kar smo videli doslej