Luís Alberto
Caju
O Brasil sofre nova
ameaça de espionagem: criminosos de língua espanhola visam instituições
governamentais, de energia, empresas de petróleo e gás e outras vítimas de alto
nível através de um kit de ferramentas de malware multiplataformas
Ontem (11), a equipe de pesquisa de segurança da Kaspersky Lab anunciou a descoberta do The Mask (mais conhecido como Careto), uma ameaça avançada de língua espanhola que está envolvida em operações de ciberespionagem desde 2007. O que torna o The Mask especial é a complexidade do kit de ferramentas usado pelos criminosos. Isso inclui um malware extremamente sofisticado, um rootkit, bootkit, versões para Mac OS X e Linux e, possivelmente, para iOS (iPad e iPhone).
Os principais alvos são instituições governamentais, embaixadas e escritórios diplomáticos, companhias de energia; óleo; e gás, organizações de pesquisa e ativistas. As vítimas desse ataque dirigido foram encontradas em 31 países – do Oriente Médio e Europa à África e Américas.
O objetivo dos criminosos é compilar dados sensíveis dos sistemas infectados. Isso inclui além de documentos de escritório, várias chaves de criptografia, configurações VPN, chaves SSH (com o objetivo de identificar o usuário em um servidor SSH) e arquivos RDP (utilizados pelo Remote Desktop Client para automaticamente abrir uma conexão com um computador reservado).
“Vários motivos nos fazem acreditar que isso poderia ser uma campanha organizada por um Estado. Em primeiro lugar, observamos um alto grau de profissionalismo nos procedimentos operacionais do grupo por trás deste ataque. Desde a gestão de infraestrutura até o desligamento da operação, evitando os olhos curiosos através de regras de acesso, utilizando a limpeza ao invés da exclusão de arquivos de log.
Ontem (11), a equipe de pesquisa de segurança da Kaspersky Lab anunciou a descoberta do The Mask (mais conhecido como Careto), uma ameaça avançada de língua espanhola que está envolvida em operações de ciberespionagem desde 2007. O que torna o The Mask especial é a complexidade do kit de ferramentas usado pelos criminosos. Isso inclui um malware extremamente sofisticado, um rootkit, bootkit, versões para Mac OS X e Linux e, possivelmente, para iOS (iPad e iPhone).
Os principais alvos são instituições governamentais, embaixadas e escritórios diplomáticos, companhias de energia; óleo; e gás, organizações de pesquisa e ativistas. As vítimas desse ataque dirigido foram encontradas em 31 países – do Oriente Médio e Europa à África e Américas.
O objetivo dos criminosos é compilar dados sensíveis dos sistemas infectados. Isso inclui além de documentos de escritório, várias chaves de criptografia, configurações VPN, chaves SSH (com o objetivo de identificar o usuário em um servidor SSH) e arquivos RDP (utilizados pelo Remote Desktop Client para automaticamente abrir uma conexão com um computador reservado).
“Vários motivos nos fazem acreditar que isso poderia ser uma campanha organizada por um Estado. Em primeiro lugar, observamos um alto grau de profissionalismo nos procedimentos operacionais do grupo por trás deste ataque. Desde a gestão de infraestrutura até o desligamento da operação, evitando os olhos curiosos através de regras de acesso, utilizando a limpeza ao invés da exclusão de arquivos de log.
Estas precauções
combinadas colocam esse ataque APT à frente do Duqu em termos de sofisticação,
tornando-se uma das ameaças mais avançadas no momento", disse Costin Raiu,
diretor de Pesquisa e Análise Global da Kaspersky Lab. “Esse nível de segurança
operacional não é normal para os grupos de cibercriminosos".
Pesquisadores da Kaspersky Lab, inicialmente, descobriram o The Mask no ano passado, quando observaram tentativas de explorar uma vulnerabilidade em produtos da empresa que foram corrigidos há cinco anos. O exploit possibilitou que o malware garantisse a capacidade de evitar a detecção. É claro que esta situação levantou o interesse dos pesquisadores e assim que a investigação começou.
Para as vítimas, uma infecção com o The Mask pode ser desastrosa. O ataque intercepta todos os canais de comunicação e coleta as informações mais importantes da máquina da vítima. A detecção é extremamente difícil por causa de recursos furtivos de rootkit, funcionalidades built-in e módulos de ciberespionagem adicionais.
Principais conclusões:
• Os autores parecem ser nativos na língua espanhola, o que raramente tem sido observado em ataques APT.
Pesquisadores da Kaspersky Lab, inicialmente, descobriram o The Mask no ano passado, quando observaram tentativas de explorar uma vulnerabilidade em produtos da empresa que foram corrigidos há cinco anos. O exploit possibilitou que o malware garantisse a capacidade de evitar a detecção. É claro que esta situação levantou o interesse dos pesquisadores e assim que a investigação começou.
Para as vítimas, uma infecção com o The Mask pode ser desastrosa. O ataque intercepta todos os canais de comunicação e coleta as informações mais importantes da máquina da vítima. A detecção é extremamente difícil por causa de recursos furtivos de rootkit, funcionalidades built-in e módulos de ciberespionagem adicionais.
Principais conclusões:
• Os autores parecem ser nativos na língua espanhola, o que raramente tem sido observado em ataques APT.
• A campanha está ativa há pelo menos cinco anos até janeiro de 2014 (algumas amostras de Careto foram compiladas em 2007). Durante o curso das investigações da Kaspersky Lab, os servidores de comando e controle (C&C) foram fechados.
• Observaram-se, pelo menos, 380 vítimas únicas entre mais de 1.000 Ips. Infecções foram observadas na: Alemanha, Argélia, Argentina, Bélgica, Bolivia, Brasil, China, Colômbia, Costa Rica, Cuba, Egito, Espanha, Estados Unidos, França, Guatemala, Gibraltar, Irã, Iraque, Líbia, Malásia, Marrocos, México, Noruega, Paquistão, Polónia, Reino Unido, South África, Suíça, Tunísia, Turquia e Venezuela.
• A complexidade e universalidade do conjunto de ferramentas usadas pelos criminosos faz com que esta operação de ciber- espionagem seja muito especial. Isso inclui exploits high-end, uma peça extremamente sofisticada de malware, um rootkit, um bootkit, versões do Mac OS X e Linux e possivelmente versões para iPad / iPhone (iOS). O The Mask também usou um ataque personalizado contra produtos da Kaspersky Lab.
• Entre os vetores do ataque, pelo menos um Adobe Flash Player exploit (CVE-2012-0773) foi usado. Ele foi projetado para versões do Flash Player anteriores ao 10.3 e 11.2. Este exploit foi originalmente descoberto por VUPEN e foi usado em 2012 para escapar do Sandbox do Google Chrome e ganhou o concurso CanSecWest Pwn2Own.
Métodos
De acordo com a análise da Kaspersky Lab, a campanha The Mask lança phising com links para um site malicioso. O site malicioso contém uma série de exploits projetados para infectar o visitante, dependendo da configuração do sistema. Depois da infecção, o site redireciona o usuário para o site benigno referenciado no e-mail, que pode ser um filme do YouTube ou um portal de notícias.
É importante notar o que os websites explorados não afetam automaticamente os usuários; em vez disso, os atacantes guardam as façanhas em pastas específicas no site, que não estão diretamente referenciados em qualquer lugar, exceto em e-mails maliciosos. Às vezes, os criminosos usam subdomínios nos sites, para fazê-los parecer mais real. Estes subdomínios simulam subseções dos principais jornais na Espanha além de alguns internacionais, por exemplo, "The Guardian" e "Washington Post".
As interceptações de malware em todos os canais de comunicação recolhem as informações mais importantes a partir do sistema infectado. A detecção é extremamente difícil por causa de recursos rootkit. O The Mask é um sistema altamente modular, que suporta encaixes e arquivos de configuração, que lhe permitem executar um grande número de funções. Além de funcionalidades embutidas, os operadores do The Mask podem carregar módulos adicionais que executariam qualquer tarefa maliciosa.
Nenhum comentário:
Postar um comentário