Video: New Work Award 2020 - Die NEW WORK ALUMNI im Talk (Dezember 2024)
Die Forscher von Kaspersky Lab deckten eine Cyberspionageoperation gegen Regierungs-, Energie-, Öl- und Gasorganisationen auf der ganzen Welt auf, bei der sie die bislang fortschrittlichsten Tools verwendeten. Das Unternehmen sagte, die Operation habe alle Merkmale eines nationalstaatlichen Angriffs.
Costin Raiu, Direktor des globalen Forschungs- und Analyseteams von Kaspersky Lab, und sein Team entlarvten am Montag auf dem Security Analysts Summit von Kaspersky Lab die Details hinter "The Mask" Windows, Mac OS X und Linux. Möglicherweise gibt es sogar Android- und iOS-Versionen der verwendeten Malware, teilte das Team mit. Nach allen Indikatoren handelt es sich bei The Mask um eine nationalstaatliche Elitekampagne, deren Struktur noch ausgefeilter ist als die Flame-Kampagne von Stuxnet.
"Dies ist eine der besten, die ich je gesehen habe. Früher war die beste APT-Gruppe die hinter Flame, aber jetzt ändert sich meine Meinung aufgrund der Art und Weise, wie die Infrastruktur verwaltet wird und wie sie auf Bedrohungen reagiert, sowie der Reaktionsgeschwindigkeit und Professionalität ", Sagte Raiu. Die Maske geht "über die Flamme hinaus und über alles, was wir bisher gesehen haben."
Die Operation blieb etwa fünf Jahre lang unentdeckt und betraf 380 Opfer von mehr als 1.000 gezielten IP-Adressen von Regierungsbehörden, diplomatischen Ämtern und Botschaften, Forschungsinstituten und Aktivisten. Die Liste der betroffenen Länder ist lang, einschließlich Algerien, Argentinien, Belgien, Bolivien, Brasilien, China, Kolumbien, Costa Rica, Kuba, Ägypten, Frankreich, Deutschland, Gibraltar, Guatemala, Iran, Irak, Libyen, Malaysia, Mexiko, Marokko, Norwegen, Pakistan, Polen, Südafrika, Spanien, die Schweiz, Tunesien, die Türkei, das Vereinigte Königreich, die Vereinigten Staaten und Venezuela.
Maske auspacken
Die Maske, auch Careto genannt, stiehlt Dokumente und Verschlüsselungsschlüssel, Konfigurationsinformationen für Virtual Private Networks (VPN), Schlüssel für Secure Shell (SSH) und Dateien für Remote Desktop Client. Es löscht auch Spuren seiner Aktivitäten aus dem Protokoll. Laut Kaspersky Lab ist die Malware modular aufgebaut und unterstützt Plug-Ins und Konfigurationsdateien. Es kann auch mit neuen Modulen aktualisiert werden. Die Malware versuchte auch, eine ältere Version der Sicherheitssoftware von Kaspersky auszunutzen.
"Es wird versucht, eine unserer Komponenten zum Verstecken zu missbrauchen", sagte Raiu.
Der Angriff beginnt mit Spear-Phishing-E-Mails mit Links zu einer schädlichen URL, die mehrere Exploits hostet, bevor die Benutzer schließlich zu der legitimen Site weitergeleitet werden, auf die im Nachrichtentext verwiesen wird. Zu diesem Zeitpunkt haben die Angreifer die Kontrolle über die Kommunikation des infizierten Computers.
Angreifer verwendeten einen Exploit, der auf eine Sicherheitsanfälligkeit in Adobe Flash Player abzielte, mit der Angreifer die Sandbox in Google Chrome umgehen können. Die Sicherheitsanfälligkeit wurde erstmals im Rahmen des Pwn2Own-Wettbewerbs bei CanSecWest im Jahr 2012 vom französischen Sicherheitsanfälligkeitsbroker VUPEN erfolgreich ausgenutzt. VUPEN weigerte sich, Einzelheiten über die Durchführung des Angriffs offenzulegen und erklärte, sie wollten ihn für ihre Kunden speichern. Raiu sagte nicht direkt, dass der in The Mask verwendete Exploit der gleiche wie der von VUPEN war, bestätigte jedoch, dass es sich um dieselbe Sicherheitsanfälligkeit handelte. "Vielleicht jemand der sich ausbeutet", sagte Raiu.
VUPEN wandte sich an Twitter, um zu bestreiten, dass der Exploit für diesen Vorgang verwendet wurde. "Unsere offizielle Aussage zu #Mask: Der Exploit gehört nicht uns, wahrscheinlich wurde er durch einen Unterschied zwischen dem von Adobe nach # Pwn2Own veröffentlichten Patch gefunden." Mit anderen Worten, die Angreifer verglichen den gepatchten Flash Player mit der ungepatchten Edition, ermittelten die Unterschiede und ermittelten die Art des Exploits.
Wo ist die Maske jetzt?
Als Kaspersky letzte Woche einen Teaser von The Mask auf seinem Blog veröffentlichte, begannen Angreifer, ihre Operationen einzustellen, sagte Raiu. Die Tatsache, dass Angreifer ihre Infrastruktur innerhalb von vier Stunden nach Veröffentlichung des Teasers durch Kaspersky herunterfahren konnten, zeigt, dass die Angreifer wirklich professionell waren, sagte Jaime Blasco, Research Director bei AlienVault Labs.
Während Kaspersky Lab die mit der Operation verbundenen Command-and-Control-Server heruntergefahren hat und Apple die mit der Mac-Version des Exploits verbundenen Domänen herunterfährt, ist Raiu der Ansicht, dass es sich lediglich um einen "Schnappschuss" der gesamten Infrastruktur handelt. "Ich vermute, wir sehen ein sehr schmales Fenster in ihre Operation", sagte Raiu.
Es ist zwar leicht anzunehmen, dass Angreifer aus einem spanischsprachigen Land stammten, da der spanische Code Kommentare enthielt, aber Raiu wies darauf hin, dass Angreifer leicht eine andere Sprache als rote Fahne hätten verwenden können, um die Ermittler aus der Spur zu werfen. Wo ist die Maske jetzt? Wir wissen es einfach nicht.
