r   e   k   l   a   m   a
r   e   k   l   a   m   a

Maska nową twarzą szpiegowskiego oprogramowania – wśród ofiar instytucje i wielkie firmy

Strona główna AktualnościOPROGRAMOWANIE

Tworzone przez organy ścigania i służby specjalne oprogramowanie szpiegowskie było przez ekspertów od bezpieczeństwa uważane dotąd za dość toporne – przynajmniej w porównaniu do wyrafinowanych cyberbroni, takich jak Stuxnet czy Duqu. Opinię tę trzeba zrewidować za sprawą odkrycia badaczy z Kaspersky Lab. Gdzieś na świecie potrafią wydawać pieniądze podatników na malware najwyższej próby.

Podczas spotkania analityków bezpieczeństwa w Punta Cana na Dominikanie, badacze z Kaspersky Lab przedstawili informacje o szkodniku, którego pierwsze ślady działania odnotowano już w 2007 roku. Otrzymało ono angielską nazwę The Mask – tłumaczenie hiszpańskiego słowa Careto znalezionego w kodzie malware, oznaczającego właśnie „maskę” czy też „brzydką twarz”.

Do tej pory rzadko kiedy odkrywano złośliwe oprogramowanie z tej sfery językowej – przodowały tu angielski, chiński i rosyjski. Pod względem zastosowania, Maska była jednak w pełni międzynarodowa. Wykorzystano ją w atakach na co najmniej 380 celów w 31 krajach, przede wszystkim z Maroko, Brazylii i Wielkiej Brytanii, ale też i Polski. Cele też nie były przypadkowe. Szpiedzy interesowali się instytucjami rządowymi, ambasadami, firmami z sektora energetycznego i paliwowego, laboratoriami naukowymi, funduszami inwestycyjnymi i aktywistami politycznymi.

Efekty ataku, przeprowadzanego za pomocą profilowanych operacji typu spear-phishing (a więc poprzez spreparowane e-maile wysyłane do ofiar, zawierające linki lub załączniki do exploitów), są dla ofiar katastrofalne. Szkodnik przechwytuje wszystkie kanały komunikacyjne i gromadzi wszystkie istotne informacje o zainfekowanych systemach. W razie potrzeby aktywuje dodatkowe moduły, pozwalające na przeprowadzenie dowolnych operacji na komputerze ofiary.

Wrażenie robi zbiór środków używanych do zainfekowania wziętych na celownik maszyn. Oprócz takich sztuczek jak sfałszowane pliki aktualizacji Javy czy rozszerzeń do przeglądarek, wykorzystano m.in. jeden z najbardziej udanych exploitów 0-day Flash Playera (CVE-2012-0773), który potrafił wyrwać się z piaskownicy Google Chrome. Historia tej luki jest niczym ze szpiegowskiej powieści – odkrycie przypisuje się francuskiej firmie VUPEN Security, która dzięki niemu wygrała konkurs Pwn2Own w 2012 roku. Badacze z VUPEN odmówili jednak ujawnienia metody użytej do wyrwania się z piaskownicy, ogłaszając, że wiedza ta jest na sprzedaż. Kaspersky Lab podejrzewa, że twórcy Maski byli wśród licznych rządowych klientów francuskiej firmy – i zapłacili jej za działający exploit.

Co szczególnie istotne, zakres celów Maski nie ograniczał się tylko do maszyn z Windows. Zaobserwowano trojany działające także w systemie OS X, a także moduły, które mogły być wykorzystane do zainfekowania Linuksa (choć jak Kaspersky Lab przyznaje, nie udało się jeszcze znaleźć furtki wykorzystywanej do ataków na „pingwina”). Dane z przejętych serwerów dowodzenia i kontroli Maski wskazują też działanie szkodnika na urządzeniach z Androidem i iOS-em.

Tego typu multiplatformowe ataki, klasyfikowane jako Advanced Persistent Threats, nie są czymś nieznanym. Kaspersky Lab twierdzi jednak, że Maska wyróżnia się złożonością zastosowanych środków jak i sprawnością unikania wykrycia. Bojowy ładunek dla różnych systemów chroniony jest przez bootkity i rootkity, sama zaś Maska aktywnie zwalcza oprogramowanie ochronne (w tym starsze produkty z Kaspersky Lab). Cała likwidacja operacji odbywa się bardzo profesjonalnie, nawet logi systemowe nie są po prostu kasowane, lecz wymazywane z pamięci masowej.

Pod tym względem Maska jest bardziej zaawansowana od słynnego Duqu – co według Costina Raiu, dyrektora zespołu Global Research and Analysis w rosyjskiej firmie, ma świadczyć o tym, że musiała powstać ona na zamówienie rządowego klienta. Zwykłe grupy cyberprzestępców nie działają na takim poziomie zaawansowania.

Trudno powiedzieć, czy szkodnik wciąż stanowi zagrożenie. Wiele jego serwerów dowodzenia i kontroli zostało zlikwidowanych w styczniu tego roku, jednak wcale to nie musi oznaczać, że ulepszone wersje Maski nie są przez kogoś dziś wykorzystywane.

Więcej informacji o tym zagrożeniu znajdziecie w szczegółowym raporcie Kaspersky Lab pt. Unveiling Careto – The Masked APT.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.