หน้ากากแฮ็คเหนือสิ่งอื่นใดที่เราเคยเห็น

นักวิจัยของแคสเปอร์สกี้แลปเปิดเผยหน่วยปฏิบัติการจารกรรมไซเบอร์กับรัฐบาลพลังงานน้ำมันและองค์กรก๊าซทั่วโลกโดยใช้เครื่องมือที่ทันสมัยที่สุดเท่าที่เคยมีมา บริษัท กล่าวว่าการดำเนินการมีทั้งหมด earmarks ของการถูกโจมตีรัฐชาติ

Costin Raiu ผู้อำนวยการทีมวิจัยและวิเคราะห์ระดับโลกที่ Kaspersky Lab และทีมของเขาได้เปิดเผยรายละเอียดเบื้องหลัง "The Mask" ที่ Kaspersky Lab Security Analysts Summit เมื่อวันจันทร์ที่ผ่านมาอธิบายถึงวิธีการใช้ rootkit, bootkit และมัลแวร์ Windows, Mac OS X และ Linux อาจมีมัลแวร์ที่ใช้ในเวอร์ชัน Android และ iOS ด้วย โดยตัวชี้วัดทั้งหมด The Mask เป็นแคมเปญระดับรัฐชั้นยอดและโครงสร้างของมันนั้นซับซ้อนกว่าแคมเปญ Flame ที่เกี่ยวข้องกับ Stuxnet

"นี่คือหนึ่งในสิ่งที่ดีที่สุดที่ฉันเคยเห็นมาก่อนหน้านี้กลุ่ม APT ที่ดีที่สุดคือกลุ่มที่อยู่เบื้องหลัง Flame แต่ตอนนี้มันเปลี่ยนความคิดเห็นของฉันเพราะวิธีการจัดการโครงสร้างพื้นฐานและวิธีที่พวกเขาตอบโต้ภัยคุกคามและความเร็วของปฏิกิริยาและความเป็นมืออาชีพ Raiu พูด หน้ากากไป "เหนือกว่าเปลวไฟและสิ่งอื่นใดที่เราได้เห็นมาแล้ว"

การดำเนินการไม่ได้รับการตรวจสอบเป็นเวลาประมาณห้าปีและส่งผลกระทบต่อผู้ที่ตกเป็นเหยื่อ 380 คนเกี่ยวกับที่อยู่ IP เป้าหมายมากกว่า 1, 000 รายการที่เป็นของหน่วยงานรัฐบาลสำนักงานการทูตและสถานทูตสถาบันวิจัยและนักกิจกรรม รายการของประเทศที่ได้รับผลกระทบมีความยาวรวมถึงแอลจีเรียอาร์เจนตินาเบลเยียมโบลิเวียบราซิลจีนโคลัมเบียคอสตาริกาคิวบาอียิปต์ฝรั่งเศสฝรั่งเศสเยอรมนียิบรอลตาร์กัวเตมาลาอิหร่านอิรักอิรักลิเบียมาเลเซียเม็กซิโกโมร็อกโก นอร์เวย์ปากีสถานโปแลนด์แอฟริกาใต้สเปนสวิตเซอร์แลนด์ตูนิเซียตุรกีสหราชอาณาจักรสหรัฐอเมริกาและเวเนซุเอลา

แกะหน้ากากออกจากกล่อง

The Mask ชื่อ Careto ขโมยเอกสารและคีย์เข้ารหัสข้อมูลการกำหนดค่าสำหรับ Virtual Private Networks (VPN), คีย์สำหรับ Secure Shell (SSH) และไฟล์สำหรับ Remote Desktop Client นอกจากนี้ยังทำความสะอาดร่องรอยของกิจกรรมจากบันทึก Kaspersky Lab กล่าวว่ามัลแวร์มีสถาปัตยกรรมแบบแยกส่วนและสนับสนุนปลั๊กอินและไฟล์กำหนดค่า นอกจากนี้ยังสามารถอัปเดตด้วยโมดูลใหม่ มัลแวร์ยังพยายามใช้ประโยชน์จากซอฟต์แวร์ความปลอดภัยของ Kaspersky รุ่นเก่า

“ มันพยายามที่จะใช้องค์ประกอบหนึ่งในนั้นเพื่อซ่อน” Raiu กล่าว

การโจมตีเริ่มต้นด้วยอีเมลหลอกลวงด้วยการเชื่อมโยงไปยัง URL ที่เป็นอันตรายซึ่งโฮสต์การหาประโยชน์หลายประการก่อนที่จะส่งผู้ใช้ไปยังไซต์ที่ถูกต้องตามกฎหมายที่อ้างถึงในเนื้อหาของข้อความ ณ จุดนี้ผู้โจมตีมีการควบคุมการสื่อสารของเครื่องที่ติดเชื้อ

ผู้โจมตีใช้ช่องโหว่ที่กำหนดเป้าหมายเป็นช่องโหว่ใน Adobe Flash Player ซึ่งช่วยให้ผู้โจมตีผ่านกล่องทรายใน Google Chrome ช่องโหว่ดังกล่าวถูกนำไปใช้ประโยชน์เป็นครั้งแรกในระหว่างการประกวด Pwn2Own ที่ CanSecWest ย้อนกลับไปในปี 2555 โดย VUPEN นายหน้าช่องโหว่ของฝรั่งเศส VUPEN ปฏิเสธที่จะเปิดเผยรายละเอียดว่ามันทำการโจมตีได้อย่างไรโดยบอกว่าพวกเขาต้องการที่จะบันทึกไว้สำหรับลูกค้าของพวกเขา Raiu ไม่ได้พูดตรงๆเลยว่าการใช้ประโยชน์ใน The Mask นั้นเหมือนกับ VUPEN แต่ยืนยันว่ามันเป็นช่องโหว่เดียวกัน “ อาจจะมีคนเอาเปรียบตัวเอง” Raiu กล่าว

VUPEN พาไปที่ Twitter เพื่อปฏิเสธการใช้ประโยชน์ในการดำเนินการนี้โดยกล่าวว่า "แถลงการณ์อย่างเป็นทางการของเราเกี่ยวกับ #Mask: การหาประโยชน์ไม่ใช่ของเราอาจเป็นเพราะพบว่ามีการแพร่กระจายแพทช์ของ Adobe หลังจาก # Pwn2Own" กล่าวอีกนัยหนึ่งผู้โจมตีเปรียบเทียบ Flash Player ที่ได้รับการแพทช์กับรุ่นที่ไม่ได้เปรียบเทียบช่วยกำจัดความแตกต่างและสรุปลักษณะของการใช้ประโยชน์

ตอนนี้หน้ากากอยู่ที่ไหน

เมื่อ Kaspersky โพสต์ทีเซอร์ของ The Mask ในบล็อกเมื่อสัปดาห์ที่แล้วผู้โจมตีเริ่มปิดการดำเนินงานของพวกเขา Raiu กล่าว Jaime Blasco ผู้อำนวยการวิจัยของ AlienVault Labs กล่าวว่าข้อเท็จจริงที่ว่าผู้โจมตีสามารถปิดโครงสร้างพื้นฐานได้ภายในสี่ชั่วโมงหลังจาก Kaspersky เผยแพร่ว่าทีเซอร์ระบุว่าผู้โจมตีเป็นมืออาชีพจริง ๆ Jaime Blasco ผู้อำนวยการวิจัยของ AlienVault Labs กล่าว

ในขณะที่ Kaspersky Lab ได้ปิดเซิร์ฟเวอร์คำสั่งและการควบคุมที่พบว่าเกี่ยวข้องกับการดำเนินการและ Apple ได้ปิดโดเมนที่เกี่ยวข้องกับการหาประโยชน์เวอร์ชั่น Mac แต่ Raiu เชื่อว่าพวกเขาเป็นเพียง "ภาพรวม" ของโครงสร้างพื้นฐานโดยรวม "ฉันสงสัยว่าเราเห็นหน้าต่างแคบ ๆ ในการทำงาน" Raiu กล่าว

ในขณะที่มันง่ายที่จะสันนิษฐานว่าเนื่องจากมีความคิดเห็นในรหัสในภาษาสเปนว่าผู้โจมตีมาจากประเทศที่พูดภาษาสเปน Raiu ชี้ให้เห็นว่าผู้โจมตีสามารถใช้ภาษาต่าง ๆ เป็นธงสีแดงเพื่อไล่ผู้ตรวจสอบออกได้ง่าย ตอนนี้ The Mask อยู่ไหนแล้ว? เราแค่ไม่รู้