12/02/2014

„The Mask” – ujawniamy najbardziej zaawansowaną operację cyberszpiegowską w historii

Zagrożenia

Od ponad 5 lat grupa cyberprzestępcza, prawdopodobnie wspierana przez rząd niezidentyfikowanego dotychczas państwa, przeprowadza ataki na agencje rządowe, ambasady, biura dyplomatyczne oraz firmy z branży energetycznej. Ich działania zdemaskowane przez specjalistów z Kaspersky Lab zostały już okrzyknięte jedną z najbardziej zaawansowanych i globalnych operacji cyberszpiegowskich w historii.

mask_apt

Akcja została publicznie ujawniona na początku tygodnia, podczas corocznego kongresu organizowanego przez Kaspersky Lab –  Security Analyst Summit, który odbywa się w tym roku na Dominikanie. Zagrożenie zostało nazwane „Careto” (od słowa zawartego w kodzie), co w hiszpańskim języku oznacza „brzydką twarz” lub „maskę”. Ta dwuznaczność  wprowadza pewne rozbieżności interpretacji pośród hiszpańskojęzycznych społeczności.

Akcja „The Mask” może wzbudzać obawy, ponieważ pokazuje, w jaki sposób wysoce uzdolnieni i wykształceni programiści zaangażowani w cyberszpiegostwo rozwijają się, doskonalą swoją sztukę, a także ogólnie coraz skuteczniej infekują, szpiegują i kradną w bardzo specyficznych i zróżnicowanych środowiskach. Zatrważające jest również to, że „The Mask” funkcjonował w ukryciu, dyskretnie przechwytując poufne dane od 2007 roku!  Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (ang. GReAT), uważa, że gdyby nie próba zainfekowania exploitem załatanej luki w starszej wersji jednego z produktów Kaspersky Lab, firmowi specjaliści prawdopodobnie nigdy nie wpadliby na trop tych globalnych działań.

„Próby atakowania produktów Kaspersky Lab nie były rozsądnym posunięciem”, powiedział Raiu podczas swojej prezentacji dotyczącej „The Mask”.

Niemniej jednak, takie niezwykle wyrafinowane, zaawansowane i długotrwałe ataki  (APT) są zaprojektowane do infekowania pojedynczych urządzeń, które mają bezpośredni dostęp do poufnych sieci – a w tym konkretnym przypadku tych znajdujących się w agencjach rządowych czy firmach z branży energetycznej. Innym słowy, obiektem zainteresowań  napastników nie jest znaczna część populacji. Kolejnym powodem, dzięki któremu możesz odetchnąć z ulgą jest fakt, że w kilka godzin po opublikowaniu przez Globalny Zespół ds. Badań i Analizy z Kaspersky Lab szczegółów tej akcji, ktokolwiek jest odpowiedzialny za te działania – zaniechał ich.

Specjaliści z Kaspersky Lab przejęli około 90 serwerów i domen wykorzystywanych przez napastników. Wszystkie z nich zostały zamknięte w ciągu czterech godzin od opublikowania artykułu – kontynuuje Raiu. Sinkholing – bo tak nazywa się technika wykorzystana przez naszych badaczy – polega na zneutralizowaniu i przejęciu kontroli nad ruchem sieciowym generowanym przez szkodliwe oprogramowanie, a następnie skierowaniu go w inne miejsce – z dala od cyberprzestępczych serwerów, które kierują całą akcją.

Jednakże, Raiu twierdzi, że cyberagresorzy mogą szybko wznowić swoją operację i jeżeli tylko  zechcą, błyskawicznie wrócą do gry bez większych konsekwencji.

Kampania „The Mask” jest również godna uwagi z paru innych powodów. Po pierwsze, pomimo przesłanek nie wygląda na to, że Chiny mogły mieć z nią coś wspólnego (znaczna część ataków miała swoje źródło właśnie w tym kraju). Ciekawym aspektem są również sygnały świadczące o tym, że ludzie, którzy kierowali całą akcją, porozumiewali się w języku hiszpańskim, co jest nowością w historii cyberataków. Jednak, gdy weźmiemy pod uwagę statystyki, które mówią, że językiem tym posługuje się aż 400 milionów ludzi – druga pozycja za językiem mandaryńskim (główny dialekt języka chińskiego) – ta kwestia już tak nie dziwi. Głównym celem ataków „Maski” były hiszpańskojęzyczne instytucje, jednak działania cyberprzestępców dotknęły co najmniej 30 krajów.

Co więcej, wygląda na to, że ta dobrze zorganizowana grupa posiada w swoim arsenale co najmniej jedną dodatkową wersję szkodliwego oprogramowania przeznaczonego na sprzęt  z systemem OS X, a nawet na urządzenia mobilne z systemami iOS oraz Android. Według Costina Raiu, urządzenie przynajmniej jednej ofiary z Maroka komunikowało się z infrastrukturą przestępców za pomocą sieci 3G.

„Ci goście są lepsi od grupy ‚Flame APT’, ponieważ wiedzą jak skutecznie zarządzać infrastrukturą, którą stworzyli”, powiedział Raiu. „Wyróżnia ich szybkość działania i profesjonalizm, który nigdy wcześniej nie był spotykany”.

Jako punkt odniesienia posłużę się przykładem grupy „Flame APT” zdemaskowanej przez specjalistów z Kaspersky Lab w 2012 roku. Atakujący ukierunkowali swoje działania na kraje Bliskiego Wschodu i w dość wyrafinowany sposób generowali fałszywe certyfikaty, które podszywały się pod te wychodzące prosto z Microsoftu.

Jak to najczęściej bywa, ludzie stojący za „The Mask” wykorzystywali ukierunkowane maile phishingowe, które doprowadzały ofiary do fałszywych witryn, które w tym czasie instalowały exploity infekujące systemy. Strony te były „najeżone” wirusami.

Raiu wskazał, że agresorzy mieli kilkanaście różnych narzędzi do dyspozycji, m.in. implanty, które pozwoliły sprawcom długotrwale działać na urządzeniach ofiar, przechwytywać całą komunikację TCP oraz UDP w czasie  rzeczywistym, a także pozostawać niewidocznym na zainfekowanym komputerze. Raiu potwierdził, że wszystkie ścieżki komunikacyjne pomiędzy ofiarami a serwerami cyberprzestępców były zaszyfrowane.