Video: Voyager I: 1977 - 2017 [De reis gaat verder} (November 2024)
Onderzoekers van Kaspersky Lab ontdekten een cyberspionage-operatie tegen overheids-, energie-, olie- en gasorganisaties over de hele wereld met behulp van de meest geavanceerde reeks tools die tot nu toe zijn waargenomen. Het bedrijf zei dat de operatie alle kenmerken had van een aanval door een natiestaat.
Costin Raiu, directeur van het wereldwijde onderzoeks- en analyseteam bij Kaspersky Lab, en zijn team ontmaskerde de details achter "The Mask" op de Kaspersky Lab Security Analysts Summit op maandag, waarin hij beschreef hoe de operatie een rootkit, bootkit en malware gebruikte voor Windows, Mac OS X en Linux. Er kunnen zelfs Android- en iOS-versies van de gebruikte malware zijn, zei het team. Volgens alle indicatoren is The Mask een elite-natiecampagne en de structuur ervan is zelfs nog geavanceerder dan de Flame-campagne in verband met Stuxnet.
"Dit is een van de beste die ik heb gezien. Voorheen was de beste APT-groep de groep achter Flame, maar nu verandert mijn mening vanwege de manier waarop de infrastructuur wordt beheerd en hoe ze reageren op bedreigingen en de snelheid van reactie en professionaliteit, "Zei Raiu. Het masker gaat "voorbij Flame en alles wat we tot nu toe hebben gezien".
De operatie bleef ongeveer vijf jaar onopgemerkt en trof 380 slachtoffers van ongeveer meer dan 1000 gerichte IP-adressen van overheidsinstanties, diplomatieke kantoren en ambassades, onderzoeksinstituten en activisten. De lijst met getroffen landen is lang, inclusief Algerije, Argentinië, België, Bolivia, Brazilië, China, Colombia, Costa Rica, Cuba, Egypte, Frankrijk, Duitsland, Gibraltar, Guatemala, Iran, Irak, Libië, Maleisië, Mexico, Marokko, Noorwegen, Pakistan, Polen, Zuid-Afrika, Spanje, Zwitserland, Tunesië, Turkije, het Verenigd Koninkrijk, de Verenigde Staten en Venezuela.
Het masker uitpakken
Het masker, ook wel Careto genoemd, steelt documenten en coderingssleutels, configuratie-informatie voor Virtual Private Networks (VPN), sleutels voor Secure Shell (SSH) en bestanden voor Remote Desktop Client. Het verwijdert ook sporen van zijn activiteiten uit het logboek. Kaspersky Lab zei dat de malware een modulaire architectuur heeft en plug-ins en configuratiebestanden ondersteunt. Het kan ook worden bijgewerkt met nieuwe modules. De malware probeerde ook een oudere versie van de beveiligingssoftware van Kaspersky te exploiteren.
"Het probeert een van onze componenten te misbruiken om te verbergen, " zei Raiu.
De aanval begint met spear-phishing-e-mails met links naar een kwaadaardige URL die meerdere exploits host, voordat de gebruikers uiteindelijk worden afgeleverd op de legitieme site waarnaar in de berichttekst wordt verwezen. Op dit moment hebben de aanvallers controle over de communicatie van de geïnfecteerde machine.
Aanvallers gebruikten een exploit die gericht was op een kwetsbaarheid in Adobe Flash Player waardoor aanvallers vervolgens de sandbox in Google Chrome konden omzeilen. Het beveiligingslek werd voor het eerst met succes misbruikt tijdens de Pwn2Own-wedstrijd op CanSecWest in 2012 door de Franse kwetsbaarheidsmakelaar VUPEN. VUPEN weigerde details bekend te maken over hoe het de aanval uitvoerde en zei dat ze het wilden opslaan voor hun klanten. Raiu zei niet ronduit dat de exploit die in The Mask werd gebruikt hetzelfde was als die van VUPEN, maar bevestigde dat het dezelfde kwetsbaarheid was. "Misschien iemand de exploit zelf, " zei Raiu.
VUPEN ging naar Twitter om te ontkennen dat zijn exploit was gebruikt in deze operatie en zei: "Onze officiële verklaring over #Mask: de exploit is niet van ons, waarschijnlijk is deze gevonden door de patch die door Adobe is vrijgegeven na # Pwn2Own te verschillen." Met andere woorden, de aanvallers vergeleken de gepatchte Flash Player met de niet-gepaarde editie, haalden de verschillen eruit en leidde de aard van de exploit af.
Waar is het masker nu?
Toen Kaspersky vorige week een teaser van The Mask op zijn blog plaatste, begonnen aanvallers hun operaties af te sluiten, zei Raiu. Het feit dat aanvallers hun infrastructuur binnen vier uur na het publiceren van Kaspersky konden afsluiten, geeft aan dat de aanvallers echt professioneel waren, zei Jaime Blasco, onderzoeksdirecteur bij AlienVault Labs.
Hoewel Kaspersky Lab de command-and-control-servers heeft afgesloten die het bij de operatie had gevonden en Apple de domeinen die bij de Mac-versie van de exploit horen, heeft afgesloten, gelooft Raiu dat het slechts een "momentopname" is van de algehele infrastructuur. "Ik vermoed dat we een heel smal venster in hun werking zien, " zei Raiu.
Hoewel het gemakkelijk is om aan te nemen dat omdat er opmerkingen in de Spaanse code waren dat de aanvallers uit een Spaanstalig land kwamen, Raiu erop wees dat aanvallers gemakkelijk een andere taal als rode vlag hadden kunnen gebruiken om onderzoekers uit het spoor te gooien. Waar is The Mask nu? We weten het gewoon niet.
