ПУНТА КАНА — Самой изощренной на данный момент APT-операцией исследователи назвали кампанию кибершпионажа, в ходе которой группа хакеров государственного уровня атаковала правительственные агентства, посольства и дипломатические офисы, а также компании энергетического сектора. Кампания, названная The Mask (англ. «Маска») или Careta (исп. «Уродливая морда» или «Маска»), обладает несколькими уникальными компонентами и функциональностью, и группа, стоящая за ней, занималась воровством важных данных, таких как  ключи шифрования и SSH, а также удалением прочих данных на атакованных машинах.

Кампания The Mask продолжалась как минимум с 2007 года и, что необычно, действовала в ряде направлений, в том числе не связанных с Китаем. Исследователи выяснили, что за The Mask стоят испаноговорящие хакеры, а цели были расположены более чем в 30 странах. Многие, хотя и не все, жертвы расположены в испаноязычных странах. Исследователи из «Лаборатории Касперского», обнаружившие кампанию, рассказали, что злоумышленники в своем арсенале имеют как минимум одну уязвимость нулевого дня, версию The Mask для Mac OS X, Linux и, возможно, даже для iOS и Android.

«Эти ребята покруче, чем группа кампании Flame, судя по тому, как они управляли своей инфраструктурой, — заявил Костин Райю, руководитель центра глобальных исследований и анализа (Global Research and Analysis Team, GReAT) «Лаборатории Касперского». — Их скорость и профессионализм выше, чем у Flame или у кого-либо еще, кого мы видели».

Райю раскрыл детали кампании The Mask в понедельник на саммите вирусных аналитиков «Лаборатории Касперского».

Интересно, что исследователи «Лаборатории Касперского» узнали о существовании APT-группы The Mask, когда обнаружили, что хакеры эксплуатируют уязвимость в одном из продуктов компании. Злоумышленники обнаружили ошибку в старой версии продукта «Лаборатории Касперского», которая была исправлена несколько лет назад, и использовали уязвимость как часть метода маскировки своего проникновения на скомпрометированные машины. Райю заявил, что в распоряжении хакеров имеется ряд различных инструментов, которые позволяют им поддерживать постоянное присутствие на машинах жертв, перехватывать весь TCP- и UDP-трафик в реальном времени и оставаться незамеченными. По словам Райю, весь обмен данными между машинами жертв и серверами управления и контроля был зашифрован.

Злоумышленники атаковали жертв с помощью целевых фишинговых писем, которые заманивали их на вредоносный веб-сайт, где были размещены эксплойты. На сайте было несколько эксплойтов, доступных только по прямой ссылке, высланной жертвам. Один из эксплойтов, использованных злоумышленниками, был нацелен на CVE-2012-0773, уязвимость в Adobe Flash, которая была обнаружена исследователями VUPEN, французской компании, занимающейся продажей эксплойтов и информации об уязвимостях частным клиентам. Баг во Flash был особенно ценен, так как использовался для обхода песочницы браузера Chrome. Райю заметил, что эксплойт для этого бага во Flash так и не просочился в общий доступ.

В понедельник Чаоки Бекрар, CEO VUPEN, заявил, что эксплойт, использованный командой The Mask, не был разработан VUPEN.

«Эксплойт не наш, возможно, он был изобретен путем поиска различий в патче, выпущенном Adobe после Pwn2Own», — написал Бекрар в Twitter.

В то время как большинство APT-кампаний нацелены на компьютеры с Windows, хакеры The Mask были заинтересованы в компрометации машин с OS X и Linux и мобильных платформ. Исследователи «Лаборатории Касперского» обнаружили зловредов для Windows и OS X и следы существования версий для Linux. Также имеются свидетельства того, что есть версии для iOS и Android. Райю рассказал, что одна из жертв, находящаяся в Марокко, связывалась с сервером управления и контроля посредством 3G-связи.

Исследователи «Лаборатории Касперского» перехватили около 90 доменов управления и контроля ботнета (в рамках метода sinkhole), и операция была свернута в течение нескольких часов после публикации небольшого поста в блоге, где исследователи раскрыли несколько деталей о кампании The Mask. Райю подтвердил, что после публикации поста операторы The Mask свернули кампанию в течение примерно четырех часов.

Тем не менее, по словам Райю, злоумышленники способны возродить кампанию без особых проблем. «Они могут вернуться очень быстро, если захотят», — сказал он.

Категории: Вредоносные программы, Уязвимости, Хакеры