News Item: Operatiunea de spionaj cibernetic "The Mask" a compromis organizatii din peste 30 de tari
(Category: PRESA)
Posted by Radu89
Wednesday 12 February 2014 - 19:28:26
Detalii cu privire la operatiune au fost dezvaluite luni, intr-o lucrare realizata de catre cercetatorii in domeniul securitatii din cadrul firmei antivirus Kaspersky Lab, potrivit carora campania de atac ar putea fi sponsorizata de stat.
Cercetatorii Kaspersky au denumit intreaga operatiune "The Mask", traducerea in limba engleza pentru cuvantul spaniol "Careto", astfel cum au numit atacatorii principalul program backdoor. Bazandu-se pe alte siruri de text din malware, cercetatorii considera ca autorii malware-ului au, probabil, competente in limba spaniola, ceea ce este neobisnuit pentru o campanie APT (advanced persistent threat).
"Atunci cand este activ intr-un sistem victima, The Mask poate intercepta traficul de retea, intrarile de pe tastatura, conversatiile Skype, cheile PGP, poate analiza traficul WiFi, poate efectua capturi ale ecranului si poate monitoriza toate operatiunile cu fisiere", au informat cercetatorii Kaspersky in lucrarea efectuata. "Malware-ul colecteaza o lista mare de documente de pe sistemele infectate, inclusiv chei de criptare, configuratii VPN, chei SSH si fisiere RDP (remote desktop protocol). Exista de asemenea cateva extensii care sunt monitorizate si pe care nu am reusit sa le identificam, care ar putea fi legate de instrumentele de criptare de la nivel militar/guvernamental".
Datele gasite prin investigarea si monitorizarea unui set de servere de comanda si control folosite de catre atacatori au dezvaluit peste 380 de victime unice din 31 de tari. Principalele obiective ale operatiunii sunt institutiile guvernamentale, ambasadele si alte misiuni diplomatice, companiile de energie, petrol si gaze, institutiile de cercetare si activistii.
Victimele au fost vizate cu ajutorul emailurilor spear-phishing cu link-uri care conduceau catre site-uri ce gazduiesc exploit-uri pentru Java si Adobe Flash Player, precum si extensii malware pentru Mozilla Firefox si Google Chrome. URL-urile folosite erau menite pentru a juca rolul ziarelor populare, multe in spaniola, insa si The Guardian, The Washington Post si The Independent.
Datele istorice colectate din jurnalele debug accesibile pe serverele de comanda si control au aratat ca adresele IP a peste 1.000 de victime au fost conectate la acestea. Primele cinci tari in functie de numarul adreselor IP ale victimelor sunt Maroc, Brazilia, Marea Britanie, Spania si Franta.
Kaspersky a reusit sa redirectioneze numele de domenii pentru unele servere de comanda si control catre un server aflat sub controlul sau - o operatiune cunoscuta ca sinkholing - pentru a obtine statistici si a colecta infomatii mai precise cu privire la locatiile victimelor. Monitorizarea activa a conexiunilor la serverul sinkholing a aratat o distributie diferita in functie de tari, insa Spania, Franta si Maroc au continuat sa se plaseze intre primele 5 tari atat din punct de vedere al numarului adreselor IP, cat si al ID-urilor unice ale victimelor.
Atacatorii au inceput sa inchida serverele de comanda si control in luna ianuarie, iar la acest moment toate serverele despre care au cunostinta cercetatorii Kaspersky sunt offline. Chiar si asa, nu este sigur ca au fost identificate toate victimele, astfel incat lucrarea contine detalii tehnice pe care organizatiile le pot utiliza pentru a verifica retelele si sistemele de intruziuni care sa foloseasca aceasta amenintare.
De asemenea, posibilitatea ca atacatorii sa reinvie campania de atac nu poate fi exclusa, au declarat cercetatorii intr-un blog post.
Ca grad de sofisticare, cercetatorii Kaspersky plaseaza campania The Mask in fata altor operatiuni cibernetice cum ar fi Duqu, Gauss, Red October si Icefog, identificate de catre companie in ultimii cativa ani.
"In ceea ce priveste Careto, am observat un grad foarte ridicat de profesionalism al procedurilor operationale ale grupului din spatele atacului, inclusiv monitorizarea infrastructurii acestuia, oprirea operatiunii, evitarea ochilor curiosi prin regulile de acces si asa mai departe", au explicat cercetatorii in lucrarea efectuata. "Acest lucru nu este foarte obisnuit in operatiunile APT, punand The Mask in sectiunea de elita a grupurilor APT".
Setul de instrumente malware folosit de catre atacatori include trei programe backdoor diferite, unul dintre acestea avand in plus versiuni pentru Mac OS X si Linux, in afara de Windows. Unele dovezi care indica eventuale infectii pe dispozitivele iOS si Android au fost gasite, de asemenea, pe serverele de comanda si control, insa nu au fost recuperate mostre malware pentru aceste platforme.
Programul backdoor Careto colecteaza informatii despre sistem si poate executa coduri malware suplimentare, au declarat cercetatorii Kaspersky. De asemenea, acesta injecteaza o parte dintre modulele ssale in procesele browser - poate face acest lucru cu Internet Explorer, Mozilla, Firefox si Google Chrome - pentru a comunica cu serverele de comanda si control.
Careto a fost adesea folosit pentru a instala un al doilea program backdoor, mai complex, denumi SGH, care are o arhitectura modulara si care poate fi extins cu usurinta. Aceasta a doua amenintare contine o componenta rootkit si are module pentru interceptarea evenimentelor de sistem si a operatiunilor cu fisierele, precum si efectueaza un numar mare de functii de supraveghere.
SGH incearca, de asemenea, sa exploateze o vulnerabilitate in versiunile mai vechi ale produselor antivirus Kaspersky, pentru a evita detectarea, aspect care a atras atentia cercetatorilor de la inceput si a determinat efectuarea anchetei. Cu toate acestea, vulnerabilitatea amintita a fost remediata in anul 2008 si afecteaza doar versiunile Kaspersky Workstation mai vechi de 6.0.4 si Kaspersky Anti-Virus si Kaspersky Internet Security 8.0 care nu au fost actualizate corespunzator, au informat cercetatorii.
Al treilea program backdoor se bazeaza pe un proiect open-source denumit SBD, prescurtarea de la Shadowinteger's Blackdoor, care se bazeaza pe utilitate netcat de retea. Cercetatorii Kaspersky au descoperit variante SBD personalizate pentru Windows, Mac OS X si Linux asociate cu operatiunea The Mask, insa varianta Linux a fost deteriorata, neputand fi analizata.
Diferite variante ale programelor backdoor folosite in The Mask de-a lungul anilor au fost identificate, cea mai veche parand a fi elaborata in anul 2007.
Majoritatea mostrelor au fost semnate digital cu certificate valide emise de compania TecSystem Ltd. din Bulgaria, insa nu se cunoaste daca aceasta companie este reala. Un certificat a fost valid in perioada 28 iunie 2011 - 28 iunie 2013, iar celalalt ar fi trebuit sa fie valid in perioada 18 aprilie 2013 - 18 iulie 2016, insa acesta a fost revocat, intre timp, de catre VeriSign.
"Operatiunile cibernetice ofensive la nivel de natiune pot ramane in umbra multi ani de zile, inainte de a fi descoperit si analizate pe deplin", a declarat Igor Soumenkov, principal cercetator in doomeniul securitatii in cadrul Kaspersky Lab. "Uneori, sunt detectate mostre, insa cercetatorilor le lipsesc date pentru a crea o imagine de ansamblu. Cu Careto, am incercat nu doar sa analizam atacul impotriva produselor Kaspersky, ci si sa percepem imaginea de ansamblu".
LINK
This news item is from Proiect SEMPER FIDELIS
( http://semperfidelis.ro/news.php?extend.3765 )
(Category: PRESA)
Posted by Radu89
Wednesday 12 February 2014 - 19:28:26
O operatiune de spionaj cibernetic care a folosit malware multi-platforma extrem de sofistica a ramas nedetectata timp de peste cinci ani de zile si a compromis computere apartinand a sute de organizatii guvernamentale si private din peste 30 de tari.
Detalii cu privire la operatiune au fost dezvaluite luni, intr-o lucrare realizata de catre cercetatorii in domeniul securitatii din cadrul firmei antivirus Kaspersky Lab, potrivit carora campania de atac ar putea fi sponsorizata de stat.
Cercetatorii Kaspersky au denumit intreaga operatiune "The Mask", traducerea in limba engleza pentru cuvantul spaniol "Careto", astfel cum au numit atacatorii principalul program backdoor. Bazandu-se pe alte siruri de text din malware, cercetatorii considera ca autorii malware-ului au, probabil, competente in limba spaniola, ceea ce este neobisnuit pentru o campanie APT (advanced persistent threat).
"Atunci cand este activ intr-un sistem victima, The Mask poate intercepta traficul de retea, intrarile de pe tastatura, conversatiile Skype, cheile PGP, poate analiza traficul WiFi, poate efectua capturi ale ecranului si poate monitoriza toate operatiunile cu fisiere", au informat cercetatorii Kaspersky in lucrarea efectuata. "Malware-ul colecteaza o lista mare de documente de pe sistemele infectate, inclusiv chei de criptare, configuratii VPN, chei SSH si fisiere RDP (remote desktop protocol). Exista de asemenea cateva extensii care sunt monitorizate si pe care nu am reusit sa le identificam, care ar putea fi legate de instrumentele de criptare de la nivel militar/guvernamental".
Datele gasite prin investigarea si monitorizarea unui set de servere de comanda si control folosite de catre atacatori au dezvaluit peste 380 de victime unice din 31 de tari. Principalele obiective ale operatiunii sunt institutiile guvernamentale, ambasadele si alte misiuni diplomatice, companiile de energie, petrol si gaze, institutiile de cercetare si activistii.
Victimele au fost vizate cu ajutorul emailurilor spear-phishing cu link-uri care conduceau catre site-uri ce gazduiesc exploit-uri pentru Java si Adobe Flash Player, precum si extensii malware pentru Mozilla Firefox si Google Chrome. URL-urile folosite erau menite pentru a juca rolul ziarelor populare, multe in spaniola, insa si The Guardian, The Washington Post si The Independent.
Datele istorice colectate din jurnalele debug accesibile pe serverele de comanda si control au aratat ca adresele IP a peste 1.000 de victime au fost conectate la acestea. Primele cinci tari in functie de numarul adreselor IP ale victimelor sunt Maroc, Brazilia, Marea Britanie, Spania si Franta.
Kaspersky a reusit sa redirectioneze numele de domenii pentru unele servere de comanda si control catre un server aflat sub controlul sau - o operatiune cunoscuta ca sinkholing - pentru a obtine statistici si a colecta infomatii mai precise cu privire la locatiile victimelor. Monitorizarea activa a conexiunilor la serverul sinkholing a aratat o distributie diferita in functie de tari, insa Spania, Franta si Maroc au continuat sa se plaseze intre primele 5 tari atat din punct de vedere al numarului adreselor IP, cat si al ID-urilor unice ale victimelor.
Atacatorii au inceput sa inchida serverele de comanda si control in luna ianuarie, iar la acest moment toate serverele despre care au cunostinta cercetatorii Kaspersky sunt offline. Chiar si asa, nu este sigur ca au fost identificate toate victimele, astfel incat lucrarea contine detalii tehnice pe care organizatiile le pot utiliza pentru a verifica retelele si sistemele de intruziuni care sa foloseasca aceasta amenintare.
De asemenea, posibilitatea ca atacatorii sa reinvie campania de atac nu poate fi exclusa, au declarat cercetatorii intr-un blog post.
Ca grad de sofisticare, cercetatorii Kaspersky plaseaza campania The Mask in fata altor operatiuni cibernetice cum ar fi Duqu, Gauss, Red October si Icefog, identificate de catre companie in ultimii cativa ani.
"In ceea ce priveste Careto, am observat un grad foarte ridicat de profesionalism al procedurilor operationale ale grupului din spatele atacului, inclusiv monitorizarea infrastructurii acestuia, oprirea operatiunii, evitarea ochilor curiosi prin regulile de acces si asa mai departe", au explicat cercetatorii in lucrarea efectuata. "Acest lucru nu este foarte obisnuit in operatiunile APT, punand The Mask in sectiunea de elita a grupurilor APT".
Setul de instrumente malware folosit de catre atacatori include trei programe backdoor diferite, unul dintre acestea avand in plus versiuni pentru Mac OS X si Linux, in afara de Windows. Unele dovezi care indica eventuale infectii pe dispozitivele iOS si Android au fost gasite, de asemenea, pe serverele de comanda si control, insa nu au fost recuperate mostre malware pentru aceste platforme.
Programul backdoor Careto colecteaza informatii despre sistem si poate executa coduri malware suplimentare, au declarat cercetatorii Kaspersky. De asemenea, acesta injecteaza o parte dintre modulele ssale in procesele browser - poate face acest lucru cu Internet Explorer, Mozilla, Firefox si Google Chrome - pentru a comunica cu serverele de comanda si control.
Careto a fost adesea folosit pentru a instala un al doilea program backdoor, mai complex, denumi SGH, care are o arhitectura modulara si care poate fi extins cu usurinta. Aceasta a doua amenintare contine o componenta rootkit si are module pentru interceptarea evenimentelor de sistem si a operatiunilor cu fisierele, precum si efectueaza un numar mare de functii de supraveghere.
SGH incearca, de asemenea, sa exploateze o vulnerabilitate in versiunile mai vechi ale produselor antivirus Kaspersky, pentru a evita detectarea, aspect care a atras atentia cercetatorilor de la inceput si a determinat efectuarea anchetei. Cu toate acestea, vulnerabilitatea amintita a fost remediata in anul 2008 si afecteaza doar versiunile Kaspersky Workstation mai vechi de 6.0.4 si Kaspersky Anti-Virus si Kaspersky Internet Security 8.0 care nu au fost actualizate corespunzator, au informat cercetatorii.
Al treilea program backdoor se bazeaza pe un proiect open-source denumit SBD, prescurtarea de la Shadowinteger's Blackdoor, care se bazeaza pe utilitate netcat de retea. Cercetatorii Kaspersky au descoperit variante SBD personalizate pentru Windows, Mac OS X si Linux asociate cu operatiunea The Mask, insa varianta Linux a fost deteriorata, neputand fi analizata.
Diferite variante ale programelor backdoor folosite in The Mask de-a lungul anilor au fost identificate, cea mai veche parand a fi elaborata in anul 2007.
Majoritatea mostrelor au fost semnate digital cu certificate valide emise de compania TecSystem Ltd. din Bulgaria, insa nu se cunoaste daca aceasta companie este reala. Un certificat a fost valid in perioada 28 iunie 2011 - 28 iunie 2013, iar celalalt ar fi trebuit sa fie valid in perioada 18 aprilie 2013 - 18 iulie 2016, insa acesta a fost revocat, intre timp, de catre VeriSign.
"Operatiunile cibernetice ofensive la nivel de natiune pot ramane in umbra multi ani de zile, inainte de a fi descoperit si analizate pe deplin", a declarat Igor Soumenkov, principal cercetator in doomeniul securitatii in cadrul Kaspersky Lab. "Uneori, sunt detectate mostre, insa cercetatorilor le lipsesc date pentru a crea o imagine de ansamblu. Cu Careto, am incercat nu doar sa analizam atacul impotriva produselor Kaspersky, ci si sa percepem imaginea de ansamblu".
LINK
This news item is from Proiect SEMPER FIDELIS
( http://semperfidelis.ro/news.php?extend.3765 )