卡巴斯基实验室发现“面具”(The Mask):全球其中一个攻击者以最先进、最复杂的工具来进行攻击的网络间谍运行
这新的威胁:西班牙语的攻击者是通过跨平台的恶意程序软件工具,主要针对政府机构、能源、石油和天然气公司和其他引人注目的受害者。
蓬塔卡纳, 11 February 2014. 今天,卡巴斯基实验室(Kaspersky Lab)的安全研究小组宣布发现“面具”(又名Careto),一个在2007年已投入全球网络间谍运行的先进西班牙语的恶意软件程序。The Mask最特别之处是攻击者所使用的工具的复杂性。这包括极其复杂的恶意软件,如rootkit木马、Bootkit木马、MAC OS X、Linux版本以及Android和iOS(iPad/iPhone)的可能版本。
这项恶意程序软件主要针对的目标为政府机构、外交部办公室与大使馆、能源,石油和天然气公司、研究机构和活跃人士。这种受针对性攻击的受害者已在全球31个国家出现,包括中东、欧洲、非洲以及美洲。
“有数个原因让我们相信这会是获得一个国家资助的活动。首先,我们观察到这种攻击背后的集团运行程序的专业程度非常高。从基础设施的管理、操作机关,避免其他用户通过访问规则,而不是使用日志文件删除。把这些种种结合起来并复杂化,使它成为最先进的威胁,”卡巴斯基实验室全球研究与分析团队(GreAT)总监Costin Raiu说道。
“这种水平的安全运行对于网络犯罪集团来说是不正常的。”
卡巴斯基实验室的研究人员在去年开始意识到Careto的出现,是当他们观察公司五年前设立的产品的漏洞利用及脆弱性。所提供的恶意软件的能力,避免检测。当然,在这种情况下提高了他们的兴趣,同时展开了调查。
对于受害者而言,感染Careto恶意程序是一项灾难。Careto恶意程序可拦截所有的沟通渠道和在受害者的系统里收集重要的资讯。由于Rootkit的隐形能力、内置功能以及额外的网络间谍模式导致检测面对极大的困难。
主要研究结果:
- 作者在西班牙语中显得非常低调,以致本土在APT攻击的范围里很少被观察到。
- 这项活动活跃已至少5年,一直到2014年1月份(一些Careto样品是于2007年进行编译)。卡巴斯基实验室的调查过程中,指挥和控制(C&C)服务器被关闭。
- 我们在大约1000个IP里计算出超过380个独特的受害者。被观察到受感染的国家包括了:阿尔及利亚、阿根廷、比利时、玻利维亚、巴西、中国、哥伦比亚、哥斯达黎加、古巴、埃及、法国、德国、瓜地马拉、伊朗、直布罗陀、伊拉克、利比亚、马来西亚、墨西哥、摩洛哥、挪威、巴基斯坦、波兰、南非、西班牙、瑞士、突尼斯亚、土耳其、英国、美国和委内瑞拉。
- 攻击者使用工具的复杂性使得这一网络间谍行动非常特殊。这包括利用高端的漏洞以及恶意软件,如非常尖端的rootkit、Bootkit,MAC OS X和Linux版本和可能的版本的Android和iPhone / iPad(iOS)的可能版本。The Mask恶意程序也利用一个定制的程序来攻击卡巴斯基实验室的产品。
- 在被攻击的载体中,至少一个Adobe Flash 播放器(cve-2012-0773)的漏洞被使用。它是专为Flash播放器版本10.3和11.2而设的。这项漏洞最初被VUPEN发现并在2012逃过谷歌浏览器Sandbox而赢得CanSecWest Pwn2own大赛。
感染的方法和其功能
根据卡巴斯基实验室的分析报告,The Mask的活动依赖于网络钓鱼电子邮件(Spear-phishing e-mails)衔接至恶意程序网站。恶意程序网站包含了一些透过系统设置的漏洞设计来感染浏览者。在成功感染浏览者后,恶意程序网站将引导用户透过电子邮件转向良性的网站,如可能是YouTube影片网站或新闻门户网站。
必须要注意的是,“漏洞利用”网站并不会自动感染浏览者;相反,攻击者会利用网站的特定文件夹,在不直接出现在任何地方,除了在恶意邮件上。有时,攻击者会利用网站上的子域(Subdomains),使他们看起来更真实。这些子域模拟分部在西班牙主要的报纸上,并加上一些国际的,如“The Guardian”和“华盛顿邮报”。
这恶意程序软件拦截所有的沟通渠道和从受感染的系统里收集重要的讯息。由于Rootkit的隐形能力导致检测时面对了极大的困难。Careto恶意程序软件是一个高度模块化的系统;它支持插件和配置文件,允许它进行大量的功能。除了内置的功能,Careto的操作人员可以上传额外的模块以执行任何恶意的任务。
卡巴斯基实验室的产品可检测和删除所有已知的The Mask / Careto恶意程序软件。
No comments:
Post a Comment