Kaspersky Lab onthult "The Mask": een van de meest geavanceerde wereldwijde cyberspionage-activiteiten ooit, vanwege complexiteit van door aanvallers gebruikte toolset

Nieuwe dreigingsfactor: Spaanstalige aanvallers richten zich via een cross-platform malware-toolkit op overheidsinstellingen, energie-, olie- & gasbedrijven en andere spraakmakende slachtoffers

Utrecht, 10 februari 2014 – Kaspersky Labs security research team kondigt vandaag de ontdekking aan van “The Mask” (alias Careto). Deze geavanceerde Spaanstalige dreigingsfactor is al minstens sinds 2007 betrokken bij wereldwijde cyberspionage-activiteiten. Wat The Mask zo speciaal maakt, is de complexiteit van de door de aanvallers gebruikte toolset. Deze omvat uiterst geavanceerde malware, een rootkit, een bootkit, Mac OS X- en Linux-versies en mogelijk versies voor Android en iOS (iPad/iPhone).

De voornaamste doelwitten zijn overheidsinstellingen, diplomatieke kantoren en ambassades, energie-, olie- en gasbedrijven, onderzoeksinstellingen en activisten. Slachtoffers van deze gerichte aanval zijn aangetroffen in 31 landen over de hele wereld – van het Midden-Oosten en Europa tot Afrika en Noord/Zuid-Amerika.

Het belangrijkste doel van de aanvallers is het verzamelen van gevoelige gegevens op geïnfecteerde systemen. Hiertoe behoren Office-documenten, maar ook diverse encryptiesleutels, VPN-configuraties, SSH-sleutels (bedoeld om een gebruiker te identificeren op een SSH-server) en RDP-bestanden (door de Remote Desktop Client gebruikt om automatisch een verbinding te openen naar de gereserveerde computer).

“We hebben verschillende redenen om aan te nemen dat het hier om een door een staat gesponsorde campagne gaat. Allereerst valt een zeer hoge mate van professionalisme op in de operationele procedures van de groep achter deze aanval. Hierbij moet worden gedacht aan infrastructuurbeheer, het stilleggen van de operatie, het gebruik van toegangsregels om nieuwsgierige blikken te vermijden en het gebruik van wiping (definitief wissen) in plaats van het slechts verwijderen van logbestanden. De combinatie van dit alles maakt deze APT verfijnder dan Duqu en een van de meest geavanceerde dreigingen van dit moment”, aldus Costin Raiu, directeur van het Global Research and Analysis Team (GReAT) bij Kaspersky Lab. “Operationele beveiliging van een dergelijk niveau is ongebruikelijk bij cybercriminele groeperingen.”

Onderzoekers van Kaspersky Lab werden zich vorig jaar voor het eerst bewust van Careto, toen ze stuitten op pogingen om een vijf jaar eerder gerepareerde kwetsbaarheid in de producten van het bedrijf te exploiteren. Dankzij deze exploit was de malware in staat om detectie te voorkomen. Natuurlijk wekte deze situatie hun interesse, waarna het onderzoek werd gestart.

Voor de slachtoffers kan een infectie met Careto rampzalig zijn. Careto onderschept alle communicatiekanalen en verzamelt de meest vitale informatie op de machine van het slachtoffer. Detectie is uiterst lastig vanwege de stealth rootkit-mogelijkheden, ingebouwde functionaliteiten en additionele cyberspionage-modules.

Belangrijkste bevindingen:
• De moedertaal van de auteurs lijkt Spaans te zijn, wat zeer zelden wordt waargenomen bij APT-aanvallen.
• De campagne was voor januari 2014 minstens vijf jaar actief (sommige Careto-samples werden in 2007 samengesteld). In de loop van Kaspersky Labs onderzoek werden de command-and-control (C&C) servers stilgelegd.
• We telden meer dan 380 unieke slachtoffers onder ruim duizend IP’s. Infecties zijn waargenomen in: Algerije, Argentinië, België, Bolivia, Brazilië, China, Colombia, Costa Rica, Cuba, Egypte, Frankrijk, Duitsland, Gibraltar, Guatemala, Iran, Irak, Libië, Maleisië, Mexico, Marokko, Noorwegen, Pakistan, Polen, Zuid-Afrika, Spanje, Zwitserland, Tunesië, Turkije, het Verenigd Koninkrijk, de Verenigde Staten en Venezuela.
• De complexiteit en universaliteit van de door de aanvallers gebruikte toolset maakt deze cyberspionage-operatie heel bijzonder. Het omvat het gebruik van exploits van hoog niveau, uiterst verfijnde malware, een rootkit, een bootkit, Mac OS X- en Linux-versies en mogelijk versies voor Android en iPad/iPhone (iOS). The Mask maakt ook gebruik van een aangepaste aanval tegen Kaspersky Lab-producten.
• Bij de aanvalsvectoren werd in elk geval gebruik gemaakt van één Adobe Flash Player exploit (CVE-2012-0773). Deze werd ontwikkeld voor Flash Player-versies voorafgaand aan 10.3 en 11.2. Deze exploit werd oorspronkelijk ontdekt door VUPEN en werd in 2012 gebruikt om te ontsnappen uit de Google Chrome sandbox en de CanSecWest Pwn2Own wedstrijd te winnen.

Infectiemethoden & Functionaliteit
Volgens Kaspersky Labs analyserapport leunt de The Mask-campagne op spear-phishing e-mails met links naar een kwaadaardige website. Deze kwaadaardige website bevat een aantal exploits die zijn ontworpen om bezoekers te infecteren, afhankelijk van hun systeemconfiguratie. Na succesvolle infectie leidt de kwaadaardige website de gebruiker om naar de goedaardige website waarnaar in de e-mail werd verwezen, zoals een YouTube-filmpje of een nieuwsportaal.

Het is belangrijk op te merken dat de websites met exploits bezoekers niet automatisch infecteren. In plaats daarvan hosten de aanvallers de exploits in specifieke mappen op de website. Hier wordt nergens rechtstreeks naar verwezen, behalve in kwaadwillige e-mails. Soms maken de aanvallers gebruik van subdomeinen op de websites met exploits, om ze meer authentiek te laten lijken. Deze subdomeinen bootsen delen van de belangrijkste Spaanse kranten na, plus enkele internationale kranten zoals “The Guardian” en de “Washington Post”.

De malware onderschept alle communicatiekanalen en verzamelt de meest vitale informatie op het geïnfecteerde systeem. Detectie is uiterst lastig vanwege de stealth rootkit-mogelijkheden. Careto is een zeer modulair systeem; het ondersteunt plug-ins en configuratiebestanden, die het mogelijk maken een groot aantal functies uit te voeren. Naast de ingebouwde functionaliteit kunnen de Careto-operators extra modules uploaden die elke gewenste kwaadaardige taak kunnen uitvoeren.

Kaspersky Labs producten detecteren en verwijderen alle bekende versies van The Mask/Careto-malware.

Kijk op Securelist.com voor het volledige rapport, inclusief een gedetailleerde beschrijving van de kwaadwillige tools en statistieken en indicatoren van getroffen organisaties:
http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf

Klik hier voor een complete FAQ:
http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions