Koti Securitywatch Naamio hakkeroi kaiken, mitä olemme tähän mennessä nähneet

Naamio hakkeroi kaiken, mitä olemme tähän mennessä nähneet

Video: Батон горчичный🥖 на закваске: классика советского хлебопечения {АРОМАТНЫЙ БАТОН С НЕЖНЫМ МЯКИШЕМ!} (Marraskuu 2024)

Video: Батон горчичный🥖 на закваске: классика советского хлебопечения {АРОМАТНЫЙ БАТОН С НЕЖНЫМ МЯКИШЕМ!} (Marraskuu 2024)
Anonim

Kaspersky Labin tutkijat paljastivat kibervakoilutoimenpiteet hallitus-, energia-, öljy- ja kaasuorganisaatioita vastaan ​​ympäri maailmaa käyttämällä edistyneimpiä työkaluryhmiä, jotka ovat tähän mennessä nähneet. Yhtiö kertoi, että operaatiolla oli kaikki merkinnät kansallisvaltion hyökkäyksestä.

Kaspersky Labin globaalin tutkimus- ja analysointiryhmän johtaja Costin Raiu ja hänen tiiminsä paljastivat maanantaina Kaspersky Labin tietotekniikan asiantuntijoiden huippukokouksen "The Mask" -elokuvan yksityiskohdat, joissa kuvailtiin, kuinka operaatiossa käytettiin juurikoodia, käynnistyspakettia ja haittaohjelmia, jotka on suunniteltu Windows, Mac OS X ja Linux. Käytetyistä haittaohjelmista voi olla jopa Android- ja iOS-versioita, tiimi sanoi. Kaikkien indikaattoreiden mukaan Naamio on kansallisvaltioiden eliitin kampanja, ja sen rakenne on vielä hienostuneempi kuin Stuxnetiin liittyvä liekkikampanja.

"Tämä on yksi parhaimmista, mitä olen nähnyt. Aiemmin paras APT-ryhmä oli yksi liekin takana, mutta nyt se muuttaa mielipiteeni tapaan, jolla infrastruktuuria hallitaan ja miten ne reagoivat uhkiin, sekä reaktionopeuden ja ammattimaisuuden nopeuteen. ", Raiu sanoi. Mask peittää "liekin ja kaiken muun, mitä olemme tähän mennessä nähneet".

Operaatiota ei havaittu noin viiden vuoden ajan ja se koski 380 uhria noin 1 000 kohdennetusta IP-osoitteesta, jotka kuuluivat hallintoyksiköille, diplomaattitoimistoille ja suurlähetystöille, tutkimuslaitoksille ja aktivisteille. Vaikutusten kohteena olevien maiden luettelo on pitkä, mukaan lukien Algeria, Argentiina, Belgia, Bolivia, Brasilia, Kiina, Kolumbia, Costa Rica, Kuuba, Egypti, Ranska, Saksa, Gibraltar, Guatemala, Iran, Irak, Libya, Malesia, Meksiko, Marokko, Norja, Pakistan, Puola, Etelä-Afrikka, Espanja, Sveitsi, Tunisia, Turkki, Yhdistynyt kuningaskunta, Yhdysvallat ja Venezuela.

Maskin purkaminen pakkauksesta

Mask, jonka nimi on myös Careto, varastaa asiakirjoja ja salausavaimia, VPN: n (Virtual Private Networks) määritystietoja, Secure Shell (SSH) -näppäimiä ja Remote Desktop Client -ohjelman tiedostoja. Se pyyhkii myös jälkiä toiminnastaan ​​lokista. Kaspersky Labin mukaan haittaohjelmilla on modulaarinen arkkitehtuuri ja se tukee laajennuksia ja määritystiedostoja. Se voidaan päivittää myös uusilla moduuleilla. Haittaohjelma yritti myös hyödyntää Kasperskyn tietoturvaohjelmiston vanhempaa versiota.

"Se yrittää väärinkäyttää yhtä komponenttiamme piilottaaksemme", Raiu sanoi.

Hyökkäys alkaa keihäänkyselyviesteillä, joissa on linkit haitalliselle URL-osoitteelle, joka isännöi useita hyötykäyttöjä, ennen kuin lopulta toimitetaan käyttäjät lailliselle sivustolle, johon viestin tekstissä viitataan. Tässä vaiheessa hyökkääjät hallitsevat tartunnan saaneiden koneiden viestintää.

Hyökkääjät käyttivät hyväksikäyttöä, joka kohdistui Adobe Flash Playerin haavoittuvuuteen, jonka avulla hyökkääjät voivat ohittaa hiekkalaatikon Google Chromessa. Ranskalainen haavoittuvuusvälittäjä VUPEN käytti haavoittuvuutta ensin onnistuneesti hyväksi CanSecWestin Pwn2Own-kilpailun aikana vuonna 2012. VUPEN kieltäytyi paljastamasta yksityiskohtia siitä, kuinka se suoritti hyökkäyksen, sanoen haluavansa pelastaa sen asiakkailleen. Raiu ei sanonut suoraan, että The Maskissa käytetty hyökkäys oli sama kuin VUPEN, mutta vahvisti, että se oli sama haavoittuvuus. "Ehkä joku hyödyntää itseään", Raiu sanoi.

VUPEN kiinni Twitteriin kieltääkseen sen hyväksikäytön, että se olisi käyttänyt tätä operaatiota sanoen: "Virallinen lausunnomme #Maskista: hyväksikäyttö ei ole meidän oma, luultavasti se löydettiin hajottamalla Adoben julkaiseman korjaustiedoston # Pwn2Own jälkeen". Toisin sanoen hyökkääjät vertasivat patched Flash Player -sovellusta julkaisumattomaan versioon, kaavasivat erot ja päättelivät hyväksikäytön luonteen.

Missä naamio on nyt?

Kun Kaspersky julkaisi Maskin kiusaajan blogiinsa viime viikolla, hyökkääjät alkoivat lopettaa toimintansa, Raiu sanoi. Se, että hyökkääjät pystyivät sulkemaan infrastruktuurinsa neljän tunnin kuluessa siitä, kun Kaspersky julkaisi teaserin, osoittaa, että hyökkääjät olivat todella ammattitaitoisia, AlienVault Labsin tutkimusjohtaja Jaime Blasco kertoi.

Kaspersky Lab on sulkenut operaatioon havaitut komento- ja hallintapalvelimet ja Apple sammutti hyväksikäytön Mac-versioon liittyvät verkkotunnukset, mutta Raiu uskoo, että ne ovat vain "tilannekuva" koko infrastruktuurista. "Epäilen, että näemme hyvin kapean ikkunan heidän toimintaansa", Raiu sanoi.

Vaikka on helppo olettaa, että koska espanjankielisissä säännöissä oli kommentteja, että hyökkääjät olivat kotoisin espanjankielisestä maasta, Raiu huomautti, että hyökkääjät olisivat voineet helposti käyttää eri kieltä punaisena lipuna heittääkseen tutkijoita epäviralliselle alueelle. Missä The Mask on nyt? Emme vain tiedä.

Naamio hakkeroi kaiken, mitä olemme tähän mennessä nähneet