Global, avancerad cyberspionageoperation avslöjad

Kaspersky Lab har upptäckt ”The Mask”, en av de mest avancerade cyberspionageoperationerna någonsin med högprofilerade offer i 31 länder. Angriparna har använt komplexa metoder som gör intrången mycket svåra att upptäcka.

Spansktalande angripare ligger bakom The Mask, en serie riktade cyberattacker mot statliga institutioner, energi-, olje- och gasföretag, samt andra högprofilerade måltavlor. Operationen – som Kaspersky Lab har gett namnet The Mask (även Careto, efter spanskans slangord för mask eller fult ansikte, ett ord som påträffas på flera ställen i den skadliga koden) – har pågått i minst fem år.

Det som gör The Mask speciell är den komplexa uppsättning verktyg som används av angriparna. Dessa omfattar ett extremt sofistikerat skadligt program, ett rootkit (program för omärkbara intrång), ett bootkit (en infekteringsmetod som gör det möjligt för det skadliga programmet att köras redan innan operativsystemet är driftklart, efter att datorn har satts igång), versioner för både Mac OS X och Linux, samt möjligtvis versioner för även Android och iOS (iPad/iPhone).

De huvudsakliga måltavlorna för de riktade attackerna utgörs av statliga institutioner, diplomatiska beskickningar och ambassader, energi-, olje- och gasföretag, forskningsorganisationer och aktivister. Kaspersky Lab har hittat offer i 31 länder över hela världen (se lista nedan).

– Det finns flera anledningar till att vi tror att detta kan vara en statligt finansierad operation, säger Costin Raiu, global forskningschef på Kaspersky Lab. För det första har attackerna utförts på en mycket professionell nivå. Från hantering av infrastruktur och nedstängning av operationen, till hur man har undvikit nyfikna blickar genom att inte bryta behörighetsregler och tagit bort loggfiler helt och hållet – inte bara raderat dem. Sammantaget är denna APT-attack mer sofistikerad än trojanen Duqu, vilket gör den till ett av de mest avancerade hoten just nu. Attackerna utförs på en nivå som inte är normal för cyberkriminella grupper.

Samlar in data
APT-attacker (Advanced Persistent Threat) är avancerade, långvariga hot där angriparna verkar över lång tid och i smyg samlar in information från infekterade maskiner.

The Mask samlar in känslig data från de infekterade systemen, såsom kontorsdokument, men även krypteringsnycklar, VPN-konfigurationer, SSH-nycklar (som används för att identifiera en användare av en SSH-server) och RDP-filer (används av Remote Desktop Client för att automatiskt öppna en anslutning till en bestämd dator).

Forskare på Kaspersky Lab blev varse om The Mask förra året när de märkte försök att utnyttja en sårbarhet i företagets säkerhetsprodukter som hade åtgärdats redan fem år tidigare.

För de som drabbas av The Mask kan konsekvenserna bli allvarliga. The Mask avlyssnar alla kommunikationskanaler och samlar in den viktigaste informationen från offrets maskiner. Att upptäcka intrången är mycket svårt på grund av programmets avancerade natur.  

• Angriparna bakom The Mask verkar vara spansktalande vilket har varit ovanligt i tidigare APT-attacker.
• Operationen har fram till januari 2014 varit aktiv i minst fem år, men vissa moduler hos det skadliga programmet kan spåras tillbaka ända till 2007. Sedan Kaspersky Lab inledde sin undersökning har de ledningsservrar som angriparna har använt stängts ned.
• Kaspersky Lab har funnit över 380 unika offer med totalt 1000 infekterade IP-adresser. Infektioner har observerats i: Algeriet, Argentina, Belgien, Bolivia, Brasilien, Kina, Colombia, Costa Rica, Kuba, Egypten, Frankrike, Tyskland, Gibraltar, Guatemala, Iran, Irak, Libyen, Malaysia, Mexiko, Marocko, Norge, Pakistan, Polen, Sydarika, Spanien, Schweiz, Tunisien, Turkiet, Storbritannien, USA och Venezuela.
• Angriparna använder en komplex och universell uppsättning verktyg som gör operationen mycket speciell. Verktygen omfattar ett extremt sofistikerat skadligt program, ett rootkit, ett bootkit, versioner för både Mac OS X och Linux, samt möjligtvis versioner för även Android och iOS (iPad/iPhone). The Mask genomförde även är skräddarsydd attack mot Kaspersky Labs produkter.
• Bland de sårbarheter som attackerna har utnyttjat finns Adobe Flash Player exploit (CVE-2012-0773). Sårbarheten skapades för Flash Player version 10.3 och 11.2, upptäcktes av VUPEN och utnyttjades 2012 för att kringgå Google Chromes sandlådelösning.

Infekteringsmetod och funktionalitet
The Mask använder riktade nätfiskemejl (så kallat harpunfiske) med länkar till en skadlig webbsida. Webbsidan har kapacitet att utnyttja en rad sårbarheter i populära program för att infektera användarens maskin, beroende på systemkonfiguration. Efter detta skickar den skadliga webbsidan vidare användaren till den ofarliga webbsida som mejlet hänvisar till. Detta kan vara till exempel en video på Youtube eller en nyhetssida.

Det är viktigt att påpeka att de webbsidor som används i attackerna inte per automatik infekterar besökarna. Istället lagrar angriparna dessa funktioner i specifika mappar på webbsidan, till vilka det saknas direkta hänvisningar förutom i mejlen. Ibland använder angriparna underdomäner på dessa webbsidor för att få dem att framstå som riktiga. Subdomänerna efterliknar undersidor till de största dagstidningarna i Spanien och till några internationella tidningar, bland annat The Guardian och Washington Post.

Kaspersky Labs produkter upptäcker och tar bort alla kända versioner av The Mask/Careto.

Mer information
En fullständig rapport med detaljer om de skadliga verktygen, statistik och tecken på infekterat system finns här. Ett dokument med frågor och svar finns här.

Mediekontakt: Bite, 08-402 01 00, kaspersky@biteglobal.com