一次使用高度复杂的多平台恶意软件的网络间谍行动在5年多的时间里未被发现,并危害了30多个国家数百个政府和私人组织的电脑。
有关这次行动的细节于星期一公布报纸来自反病毒公司卡巴斯基实验室的安全研究人员认为这次攻击行动可能是国家资助的。
卡巴斯基的研究人员将整个行动命名为“面具”,即西班牙语单词Careto的英文翻译,攻击者称之为他们的主后门程序。基于在恶意软件中发现的其他文本字符串,研究人员认为其作者可能精通西班牙语,这对于APT(高级持久威胁)活动来说是不寻常的。
+也在网络世界有个足球雷竞技app2013年最严重的数据泄露+
卡巴斯基研究人员在研究论文中说:“当在受害者系统中处于活动状态时,面具可以拦截网络流量、按键、Skype对话、PGP键、分析WiFi流量、从诺基亚设备获取所有信息、截屏并监控所有文件操作。”该恶意软件从受感染系统收集大量文档,包括加密密钥、VPN配置、SSH密钥和RDP[远程桌面协议]文件。我们还监测到一些扩展,无法识别,可能与定制的军事/政府级加密工具有关。”
通过调查和监控攻击者使用的一组命令和控制(C&C)服务器发现的数据显示,来自31个国家的380多名独特受害者。行动的主要目标是政府机构、大使馆和其他外交使团、能源、石油和天然气公司、研究机构、私人股本公司和活动家。
受害者的目标是使用带有链接的spear钓鱼电子邮件,这些链接指向托管Java和Adobe Flash Player漏洞攻击的网站,以及针对Mozilla Firefox和Google Chrome的恶意扩展。这些网址的目的是冒充流行报纸的网站,其中许多是西班牙文,还有《卫报》、《华盛顿邮报》和《独立报》。
从C&C服务器上可访问的调试日志中收集的历史数据显示,连接到这些日志的受害者IP(Internet协议)地址超过1000个。被害人IP地址统计的前五个国家分别是摩洛哥、巴西、英国、西班牙和法国。
卡巴斯基还能够将一些C&C服务器的域名重定向到其控制下的服务器上,这一操作被称为sinkholing,目的是收集统计数据,并收集有关当前受害者位置的更准确信息。对天坑服务器连接的主动监测显示,各国的分布有所不同,但西班牙、法国和摩洛哥的IP地址计数和唯一的受害者ID均保持在前5位。
攻击者从一月份开始关闭他们的命令和控制服务器,而此时卡巴斯基研究人员所知的所有服务器都处于离线状态。尽管如此,还不能确定所有的受害者都已经被确认,所以论文包含了一些技术细节,组织可以使用这些细节来检查他们的网络和系统是否存在这种威胁。
此外,研究人员在一份报告中说,不能排除攻击者重新发动攻击的可能性博客文章.
就复杂程度而言,卡巴斯基的研究人员将面具行动置于该公司过去几年确定的杜曲、高斯、红十月和冰雾等其他网络间谍行动之上。
研究人员在论文中说:“对于Careto来说,我们观察到该组织在此次攻击背后的操作程序中表现出了非常高的专业性,包括监控其基础设施、关闭操作、通过访问规则避免好奇的目光、对日志文件使用擦除而不是删除等。”这在APT操作中并不常见,将掩码放入“精英”APT组部分。”
攻击者使用的恶意软件工具集包括三个不同的后门程序,其中一个除了Windows之外,还有用于Mac OS X和Linux的版本。在C&C服务器上也发现了一些可能表明iOS和Android设备感染的证据,但没有找到这些平台的恶意软件样本。
卡巴斯基的研究人员说,Careto后门程序收集系统信息,可以执行额外的恶意代码。它还将一些模块注入浏览器进程——它可以在Internet Explorer、Mozilla Firefox和Google Chrome中这样做——以与命令和控制服务器通信。
Careto通常被用来安装第二个更复杂的后门程序SGH,它具有模块化的架构,并且可以很容易地扩展。第二个威胁包含一个rootkit组件,它具有用于拦截系统事件和文件操作以及执行大量监视功能的模块。
SGH还试图利用老版本卡巴斯基杀毒产品中的漏洞来逃避检测,这一点首先引起了研究人员的注意,并促使了调查。不过,该漏洞早在2008年就已修补,仅影响6.0.4版以上的卡巴斯基工作站版本。研究人员说,卡巴斯基反病毒和卡巴斯基互联网安全8.0的安装没有得到适当的更新。
第三个后门程序基于一个名为SBD的开源项目,Shadowinteger后门的缩写,它本身基于netcat网络实用程序。卡巴斯基的研究人员发现,定制的用于Windows、Mac OS X和Linux的SBD变体与掩码操作相关,但Linux变体已损坏,无法进行分析。
多年来,面具中使用的后门程序的不同变体已经被确定,其中最古老的一个似乎是在2007年编译的。
大多数样品都是用保加利亚的一家名为TecSystem有限公司的有效证书进行数字签名的,但不清楚这家公司是否是真的。一份证书有效期为2011年6月28日至2013年6月28日。另一份本应在2013年4月18日至2016年7月18日期间有效,但后来被VeriSign撤销。
卡巴斯基实验室首席安全研究员伊戈尔·苏门科夫(Igor Soumenkov)通过电子邮件说:“国家级的网络攻击行动在被发现和全面分析之前,可能潜伏多年。”有时,会检测到样本,但研究人员缺乏数据,无法从中得出“大局”。有了Careto,我们不仅试图分析对卡巴斯基产品的攻击,还试图了解大局。”
苏门科夫认为,西班牙语的使用和最早样本的编制日期表明,来自中国、俄罗斯或美国以外国家的国家资助的攻击者进行网络间谍攻击的时间比此前想象的要长。