Cyber-spionaggio: Kaspersky Lab scopre “The Mask”

Il team di ricerca Kaspersky Lab ha annunciato la scoperta di “The Mask” (aka Careto), minaccia avanzata in lingua spagnola che è stata coinvolta in operazioni di cyber-spionaggio a livello mondiale almeno dal 2007

Quello che rende The Mask speciale è la complessità del set di strumenti utilizzato dai cyber criminali. Questo comprende un malware estremamente sofisticato, un rootkit, un bootkit, le versioni Mac OS X e Linux e probabilmente anche le versioni per Android ed iOS (iPad/iPhone).

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Gli obiettivi principali sono enti governativi, uffici diplomatici e ambasciate, società in ambito energetico, compagnie petrolifere e del gas, società di ricerca e attivisti. Si contano le vittime di questi attacchi mirati in 31 Paesi – da Medio Oriente ed Europa fino ad Africa e America.

Ottenere dati sensibili dai sistemi infettati è lo scopo dei criminali informatici. Questi dati comprendono documenti office ma anche chiavi di crittografia, configurazioni VPN, chiavi SSH (che servono come mezzi di identificazione di un utente su un server SSH) e file RDP (utilizzati da Client Remote Desktop per aprire automaticamente una connessione su un computer riservato).

“Diverse ragioni ci portano a credere che questa possa essere una campagna sponsorizzata da Stati-Nazioni. Prima di tutto, abbiamo riscontrato un livello di professionalità molto alto nelle procedure operative del gruppo che sta dietro all’attacco. Dalla gestione dell’infrastruttura fino all’arresto delle operazioni, evitando di attirare l’attenzione attraverso le regole di accesso e utilizzando wiping al posto della cancellazione dei file di log. Questa combinazione rende questo APT ancora più sofisticato rispetto a Duqu, diventando una delle minacce più avanzate in questo momento”, ha dichiarato Costin Raiu, Director of the Global Research and Analysis Team (GReAT), Kaspersky Lab. “Questo livello di sicurezza operativa non è normale per un gruppo di cyber-criminali”.

Leggi anche:  Infinidat annuncia InfuzeOS Cloud Edition e InfiniSafe Cyber Detection

I ricercatori Kaspersky Lab hanno scoperto Careto lo scorso anno quando stavano monitorando i tentativi di sfruttare una vulnerabilità dei prodotti della società, che era stata risolta cinque anni fa. Lo sfruttamento permette al malware di evitare di essere rilevato. Naturalmente, questa situazione ha generato interesse e così è stata avviata l’indagine.

Un’infezione Careto può essere un disastro per le vittime. Careto intercetta tutti i canali di comunicazione e raccoglie le informazioni fondamentali provenienti dalla macchina della vittima. La rilevazione è estremamente difficile a causa delle funzionalità nascoste rootkit, funzionalità integrate e moduli aggiuntivi di cyber-spionaggio.

I risultati principali:

– Gli autori sembrano essere di lingua ispanica, che raramente è stata rilevata negli attacchi APT.

– La campagna è stata attiva per almeno cinque anni fino a Gennaio 2014 (alcuni esempi di Careto sono stati raccolti nel 2007). Durante il corso delle indagini di Kaspersky Lab, i server command-and-control (C&C) erano stati spenti.

– Abbiamo contato oltre 380 vittime uniche tra 1000+IP. Le infezioni sono state rilevate in: Algeria, Argentina, Belgio, Bolivia, Brasile, Cina, Colombia, Costa Rica, Cuba, Egitto, Francia, Germania, Gibilterra, Guatemala, Iran, Iraq, Libia, Malesia, Messico, Marocco, Norvegia, Pakistan, Polonia, Sud Africa, Spagna, Svizzera, Tunisia, Turchia, Regno Unito, Stati Uniti e Venezuela.

– La complessità e l’universalità del toolset usato rende questa operazioni di cyber spionaggio unica. Questo comprende far leva su exploit high-end, una porzione di malware estremamente sofisticata, un rootkit, un bootkit, le versioni Mac OS X e Linux e probabilmente anche le versioni per Android ed iOS (iPad/iPhone). Inoltre, The Mask ha usato un attacco personalizzato contro i prodotti di Kaspersky Lab.

– Tra i vettori di attacco è stato utilizzato almeno un exploit Adobe Flash Player (CVE-2012-0773). E’ stato progettato per le versioni di Flash Player precendenti a 10.3 e 11.2. Questo exploit è stato originariamente scoperto da VUPEN ed è stato usato nel 2012 per sfuggire al sandbox di Google Chrome per vincere il contest CanSecWest Pwn2Own.

Leggi anche:  Sicurezza dei dati dei clienti: c'è ancora tanta strada da fare

Metodi di infezione e funzionalità

Secondo il report di analisi di Kaspersky Lab, la campagna The Mask si basa su email di spear-phishing con link a siti Web nocivi. Il sito Web malevolo contiene un numero di exploit progettati per colpire il visitatore in base alla configurazione del sistema. In seguito al successo dell’infezione, il sito malevolo reindirizza l’utente al sito Web ‘non nocivo’ indicato nell’email, che può essere un filmato su YouTube o un portale di informazioni.

E’ importante notare che i siti Web sfruttati non infettano automaticamente i visitatori, i criminali informatici ospitano gli exploit in cartelle specifiche sul sito, che non hanno nessun riferimento diretto ad eccezione delle email nocive. A volte, i criminali informatici usano dei sotto-domini nei siti di exploit per farli sembrare ancora più realistici. Questi sottodomini simulano delle sotto-sezioni dei principali quotidiani spagnoli e internazionali, come “The Guardian” e Washington Post”.

Il malware intercetta tutti i canali di comunicazione e raccoglie le informazioni fondamentali dai sistemi colpiti. La rilevazione è estremamente difficile a causa delle funzionalità nascoste rootkit. Careto è un sistema altamente modulare; supporta plugin e file di configurazione che gli permettono di svolgere numerose funzioni. Oltre alle funzionalità integrate, gli operatori Careto possono caricare moduli aggiuntivi che possono fungere da task nociva.

I prodotti Kaspersky Lab individuano e rimuovono tutte le versioni conosciute del malware The Mask/Careto.