Escrito por João Fernandes a 12 Fev. 2014
A
equipa de investigação de segurança da Kaspersky Lab anunciou a
descoberta de "A Máscara" (também conhecido como Careto), uma nova e
avançada ciberameaça de fala hispânica que tem estado envolvida em
operações globais de ciberespionagem pelo menos desde o ano 2007. O que
torna especial a Máscara é a complexidade do conjunto de ferramentas
utilizadas pelos atacantes. Inclui um programa malicioso extremadamente
sofisticado, um rootkit, um bootkit e versões para Mac OS X e Linux e,
possivelmente, para Android e iOS (iPad / iPhone).
Os alvos principais foram instituições
governamentais, representantes diplomáticos e embaixadas, além de
companhias de energia, petróleo e gás, organizações de investigação e
ativistas. As vítimas de este ataque dirigido foram detetadas em 31
países de todo o mundo - desde o Médio Oriente e Europa a África e às
Américas.
Os ciberatacantes tinham como desafio
principal recolher dados sensíveis dos sistemas infetados, incluindo
diversas chaves de encriptação, configurações VPN, chaves SSH (que serve
como meio de identificação de um utilizador a um servidor SSH) e
ficheiros RDP (utilizados para abrir automaticamente uma ligação a um
computador reservado).
"Existem várias razões que nos fazem
acreditar que esta pode ser uma campanha patrocinada por um Estado. Em
primeiro lugar, observámos um elevado grau de profissionalismo nos
procedimentos operativos do grupo que está por detrás deste ataque:
desde a gestão da infraestrutura, ao fecho da operação, evitando a
deteção através de regras de acesso e da limpeza em vez da eliminação
dos ficheiros de registo. Esta combinação coloca A Máscara à frente da
APT do Duqu em termos de sofisticação, pelo que é uma de as ameaças mais
avançadas neste momento”, afirma Costin Raiu, director da Equipa de Investigação e Análise Global da Kaspersky Lab. "Este nível de segurança operacional não é normal em grupos de cibercriminosos”.
Os investigadores da Kaspersky Lab
detetaram A Máscara pela primeira vez no ano passado, quando observaram
tentativas de explorar uma vulnerabilidade nos produtos da companhia. O
exploit dava ao malware a capacidade de evitar a deteção. Como é
evidente, esta situação gerou muito interesse e foi assim que se iniciou
a investigação.
Para as vítimas, uma infeção pela
Máscara pode ser desastrosa já que intercepta todos os canais de
comunicação e recolhe a informação mais vital do equipamento da vítima. A
deteção é extremamente difícil devido às capacidades sigilosas do
rootkit, às funcionalidades integradas e aos módulos de ciberespionagem
adicionais.
Principais conclusões
Os autores parecem ser de origem hispânica, um facto que só muito raramente se observa em ataques APT.
A campanha esteve ativa durante pelo
menos cinco anos Janeiro de 2014 (algumas amostras da Máscara foram
recolhidas em 2007). Durante o decurso das investigações da Kaspersky
Lab, os servidores de comando e controlo (C&C ) foram encerrados.
Foram contabilizadas mais de 380 vítimas
únicas entre más de 1000 IPs. As infeções foram observadas em: África
do Sul, Alemanha, Argélia, Argentina, Bélgica, Bolívia, Brasil, China,
Colômbia, Costa Rica, Cuba, Espanha, Egipto, Estados Unidos, França,
Gibraltar, Guatemala, Irão, Iraque, Líbia, Malásia, Marrocos, México,
Noruega, Paquistão, Polónia, Reino Unido, Suíça, Tunísia, Turquia e
Venezuela.
A complexidade e universalidade do
conjunto de ferramentas utilizadas pelos atacantes fazem com que esta
operação de ciberespionagem seja muito especial. Aproveitam exploits de
alta gama, uma peça muito sofisticada de software malicioso, um rootkit,
um bootkit, versões para Mac OS X e Linux e possivelmente versões para
Android e para iPad/iPhone (iOS). A Máscara também utilizou um ataque
personalizado contra os produtos da Kaspersky Lab.
Entre os vetores de ataque, foi usado
pelo menos um exploit do Adobe Flash Player (CVE-2012 - 0773). Foi
concebido para as versões do Flash Player anteriores às 10.3 e 11.2.
Este exploit foi descoberto originalmente pela VUPEN e utilizado em 2012
para escapar da sandbox do Google Chrome para ganhar o concurso Pwn2Own
CanSecWest.
Métodos de infeção e funcionalidades
De acordo com o relatório de análise da
Kaspersky Lab, a campanha da Máscara baseia-se no envio de mensagens de
correio eletrónico de phishing com links para um website malicioso. O
website malicioso contém uma série de exploits concebidos para infetar
os visitantes em função da configuração do sistema. Depois da infeção, o
site malicioso redireciona o utilizador para a página web legítima de
referência no correio eletrónico, que pode ser um filme do YouTube ou um
portal de notícias.
É importante ter em conta que o exploit em websites não infecta automaticamente os visitantes. Em vez disso, os atacantes recebem os exploits em pastas específicas no website, que não estão diretamente referenciadas em qualquer lugar, exceto em mensagens de email maliciosas. Por vezes, os atacantes utilizam subdomínios nos websites para que pareçam mais reais. Estes subdomínios simulam as secções dos principais jornais de alguns países, como de Espanha, além de outros de grande renome como o "The Guardian" e o "The Washington Post".
A Máscara é um sistema altamente modular, suporta plugins e ficheiros de configuração, que lhe permitem realizar um grande número de funções. Além das funcionalidades incorporadas, os operadores da Máscara podiam carregar módulos adicionais que poderiam realizar qualquer tarefa maliciosa.
Os produtos da Kaspersky Lab detetam e eliminam todas as versões conhecidas do malware a Máscara ou Careto. O relatório completo está disponível no site Securelist.
http://wintech.pt/82-noticias/kaspersky/16051-kaspersky-lab-descobre-operacao-de-ciberespionagem-a-mascara
Sem comentários:
Enviar um comentário