Video: NOOB vs PRO vs HACKER - Tomb of the Mask (Noviembre 2024)
Los investigadores de Kaspersky Lab descubrieron una operación de espionaje cibernético contra organizaciones gubernamentales, de energía, petróleo y gas en todo el mundo utilizando la gama más sofisticada de herramientas vistas hasta la fecha. La compañía dijo que la operación tenía todas las características de ser un ataque de estado-nación.
Costin Raiu, director del equipo global de investigación y análisis de Kaspersky Lab, y su equipo descubrieron los detalles detrás de "The Mask" en la Cumbre de analistas de seguridad de Kaspersky Lab el lunes, describiendo cómo la operación utilizó un rootkit, bootkit y malware diseñado para Windows, Mac OS X y Linux. Incluso puede haber versiones de Android e iOS del malware utilizado, dijo el equipo. Según todos los indicadores, The Mask es una campaña de élite de estado-nación, y su estructura es aún más sofisticada que la campaña Flame asociada con Stuxnet.
"Este es uno de los mejores que he visto. Anteriormente, el mejor grupo APT era el que estaba detrás de Flame, pero ahora eso cambia mi opinión debido a la forma en que manejan la infraestructura y la forma en que reaccionan a las amenazas y la velocidad de reacción y profesionalismo. ", Dijo Raiu. La máscara va "más allá de la llama y cualquier otra cosa que hayamos visto hasta ahora".
La operación pasó desapercibida durante aproximadamente cinco años e impactó a 380 víctimas de más de 1, 000 direcciones IP específicas pertenecientes a entidades gubernamentales, oficinas diplomáticas y embajadas, institutos de investigación y activistas. La lista de países afectados es larga, incluidos Argelia, Argentina, Bélgica, Bolivia, Brasil, China, Colombia, Costa Rica, Cuba, Egipto, Francia, Alemania, Gibraltar, Guatemala, Irán, Irak, Libia, Malasia, México, Marruecos, Noruega, Pakistán, Polonia, Sudáfrica, España, Suiza, Túnez, Turquía, Reino Unido, Estados Unidos y Venezuela.
Desempacando la máscara
The Mask, también llamado Careto, roba documentos y claves de cifrado, información de configuración para redes privadas virtuales (VPN), claves para Secure Shell (SSH) y archivos para Remote Desktop Client. También borra rastros de sus actividades del registro. Kaspersky Lab dijo que el malware tiene una arquitectura modular y admite complementos y archivos de configuración. También se puede actualizar con nuevos módulos. El malware también intentó explotar una versión anterior del software de seguridad de Kaspersky.
"Está tratando de abusar de uno de nuestros componentes para esconderse", dijo Raiu.
El ataque comienza con correos electrónicos de phishing con enlaces a una URL maliciosa que aloja múltiples exploits antes de finalmente entregar a los usuarios al sitio legítimo al que se hace referencia en el cuerpo del mensaje. En este punto, los atacantes tienen control sobre las comunicaciones de la máquina infectada.
Los atacantes utilizaron un exploit dirigido a una vulnerabilidad en Adobe Flash Player que permite a los atacantes evitar el entorno limitado en Google Chrome. La vulnerabilidad fue explotada con éxito por primera vez durante el concurso Pwn2Own en CanSecWest en 2012 por el corredor de vulnerabilidad francés VUPEN. VUPEN se negó a revelar detalles de cómo realizó el ataque, diciendo que querían guardarlo para sus clientes. Raiu no dijo directamente que el exploit utilizado en The Mask era el mismo que el de VUPEN, pero confirmó que era la misma vulnerabilidad. "Quizás alguien los explote", dijo Raiu.
VUPEN recurrió a Twitter para negar que su exploit se haya utilizado en esta operación y dijo: "Nuestra declaración oficial sobre #Mask: el exploit no es nuestro, probablemente se descubrió al diferir el parche lanzado por Adobe después de # Pwn2Own". En otras palabras, los atacantes compararon el Flash Player parcheado con la edición no parcheada, descubrieron las diferencias y dedujeron la naturaleza de la hazaña.
¿Dónde está la máscara ahora?
Cuando Kaspersky publicó un adelanto de The Mask en su blog la semana pasada, los atacantes comenzaron a cerrar sus operaciones, dijo Raiu. El hecho de que los atacantes pudieran cerrar su infraestructura dentro de las cuatro horas posteriores a la publicación de Kaspersky del teaser indica que los atacantes eran realmente profesionales, dijo Jaime Blasco, director de investigación de AlienVault Labs.
Si bien Kaspersky Lab ha cerrado los servidores de comando y control que encontró asociados con la operación y Apple cerró los dominios asociados con la versión Mac del exploit, Raiu cree que son solo una "instantánea" de la infraestructura general. "Sospecho que estamos viendo una ventana muy estrecha en su operación", dijo Raiu.
Si bien es fácil suponer que debido a que hubo comentarios en el código en español de que los atacantes eran de un país de habla hispana, Raiu señaló que los atacantes podrían haber usado fácilmente un idioma diferente como una bandera roja para desviar a los investigadores. ¿Dónde está la máscara ahora? Simplemente no lo sabemos.
