Pratite nas preko RSS-aOtkrivena globalna operacija sajber špijunaže ''Maska''
Vesti, 11.02.2014, 07:51 AM
Istraživački tim kompanije Kaspersky Lab je objavio da je otkrio grupu „Maska“ (poznatu i pod nazivom "Careto"), čiji članovi govore španski, i koji su uključeni u globalne operacije sajber špijunaže još od 2007. godine. Ono što ovu grupu čini posebnom je kompleksnost alatki koje napadači koriste. Alati koje koristi grupa uključuju veoma sofisticirani malver, rootkit, bootkit, 32-bitne i 64-bitne Windows verzije, Mac OS X i Linux verzije i verovatno verzije za Android i iOS (iPad/iPhone).
Glavne mete su vladine institucije, diplomatske kancelarije i ambasade, energetske, naftne i gasne kompanije, istraživačke organizacije i aktivisti. Žrtve ovih ciljanih napada su identifikovane u više od 30 država širom sveta - od Bliskog Istoka i Evrope do Afrike i Severne i Južne Amerike.
Glavni cilj napadača je da dođu do poverljivih podataka sa zaraženih sistema. Ovo uključuje poslovna dokumenta, ali i šifre za enkripciju, VPN konfiguracije, SSH ključeve i RDP fajlove.
„Postoji nekoliko razloga zbog kojih verujemo da bi ovo mogla da bude kampanja koju sponzoriše neka od država. Pre svega, uočili smo veoma visok nivo profesionalizma u akcijama grupe koja stoji iza ovog napada. Od upravljanja infrastrukturom, preko prekida operacije, do izbegavanja radoznalih pogleda pomoću pravila za pristup i korišćenja čišćenja umesto brisanja log fajlova. Sve ovo stavlja ovaj napad ispred afere Duqu u pogledu sofisticiranosti, čineći ga jednim od najnaprednijih u ovom trenutku“, rekao je Costin Raiu, direktor globalnog istraživačkog i analitičkog tima u kompaniji Kaspersky Lab. „Ovaj nivo operativne bezbednosti nije uobičajen za sajberkriminalne grupe.“
Istraživači kompanije Kaspersky Lab su prvi put postali svesni kampanje Careto prošle godine kada su uočili pokušaje da se iskoristi ranjivost u proizvodima kompanije koja je bila ispravljena pre pet godina. To je omogućilo malveru da izbegne detektovanje. Naravno, ova situacija je zainteresovala stručnjake Kaspersky Lab-a i tako je počela istraga.
Za žrtve, infekcija koju izazove Careto može biti katastrofalna. Careto prekida sve komunikacijske kanale i sakuplja najbitnije podatke sa uređaja napadnutih korisnika. Detekcija je jako teška zbog rootkit kapaciteta, ugrađenih funkcija i dodatnih modula za sajber špijunažu.
Zaključci do kojih su došli u Kaspersky Lab-u analizirajući ovu kampanju su sledeći:
-
Verovatno je da pripadnici grupe govore španski jezik, što je vrlo retko u APT napadima.
-
Kampanja je bila aktivna najmanje pet godina do januara 2014. (neki Careto uzorci su iz 2007. godine). Tokom istrage kompanije Kaspersky Lab, serveri za komandu i kontrolu su bili ugašeni.
-
Tačan broj žrtava je nepoznat. Kaspersky Lab je identifikovao više od 380 žrtava u zemljama među kojima su Alžir, Argentina, Belgija, Bolivija, Brazil, Kina, Kolumbija, Kostarika, Kuba, Egipat, Francuska, Nemačka, Gibraltar, Gvatemala, Iran, Irak, Libija, Malezija, Meksiko, Maroko, Norveška, Pakistan, Poljska, Južna Afrika, Španija, Švajcarska, Tunis, Turska, Ujedinjeno Kraljevstvo, Sjedinjene Američke Države i Venecuela.
-
Složenost i univerzalnost alatki koje koriste napadači čini ovu operaciju sajber špijunaže veoma posebnom. Ovo podrazumeva korišćenje vrhunskih exploit-a, veoma razvijene vrste malvera, rootkit, bootkit, Mac OS X i Linux verzije i verovatno verzije za Android i iPad/iPhone (iOS). Ova grupa je takođe koristila neke komponente prilagođene napadima na programe kompanije Kaspersky Lab.
-
Među vektorima napada, korišćen je najmanje jedan Adobe Flash Player exploit (CVE-2012-0773) i to za verzije Flash Player-a pre verzija 10.3 i 11.2. Ovaj exploit je prvobitno bio korišćen od strane VUPEN-a koji ga je 2012. godine koristio za pobedu na takmičenju Can SecWest Pwn2Own da bi se izbegao Google Chrome sandbox.
Prema analizi kompanije Kaspersky Lab, kampanja Maska se oslanja na spear-fišing emailove sa linkovima koji vode do malicioznog web sajta. Maliciozni web sajt sadrži brojne exploit-e dizajnirane tako da inficiraju računare posetilaca (ali ne automatski), u zavisnosti od konfiguracije sistema. Nakon uspešne infekcije, maliciozni web sajt preusmerava korisnika na bezopasan web sajt na koji se upućuje korisnik u emailu, koji može biti film na YouTube-u ili portal sa vestima.
Više informacija o operaciji Maska možete naći u dokumentu koji je objavio Kaspersky Lab (pdf) ili na blogu kompanije Securelist.com.
Izdvojeno
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Pratite nas
Nagrade
Prijatelji
