返回新闻列表

卡巴斯基实验室发现“面具”(The Mask):迄今为止最为高级的全球网络间谍行动,攻击者所使用的工具极为复杂

最新威胁主角:使用西班牙语的攻击者通过跨平台恶意软件工具对政府机构、能源、石油和天然气公司以及其他受害者发动攻击

        今天,卡巴斯基实验室安全研究团队宣布发现“面具”(The Mask,又称为Careto)全球网络间谍攻击行动。“面具”攻击行动由使用西班牙语的攻击者所展开,并且该攻击至少从2007年就已经开始。“面具”攻击行动之所以特殊,是因为攻击者所使用的攻击工具非常复杂。工具中包括一款极度复杂的恶意软件,具有rootkit和bootkit功能以及Mac OS 和Linux版本,甚至还可能存在安卓和iOS(iPad/iPhone)版本。

        这次攻击行动的主要目标是政府机构、外交机构和大使馆、能源、石油和天然气公司、研究机构以及活跃人士。这一针对性攻击的受害者遍布全球31个国家,包括中东、欧洲、非洲和美国。

        攻击者的主要目的是从受感染系统收集敏感数据。这些数据不仅仅限于公司文档,还包括加密密钥、VPN配置、SSH密匙(做为SSH服务器识别用户的凭证)和RDP文件(远程桌面客户端使用其自动连接专门的计算机)。

        “多种原因让我们觉得这次攻击行动是一次由政府和国家资助的攻击行动。首先,我们观察到这种攻击背后的集团执行攻击步骤的专业程度非常高。包括基础设施的管理、攻击行动的终止以及采用访问规则避免其他用户发现攻击,而不是删除日志文件。把这些种种结合起来,使得这次高级可持续性攻击(APT)在复杂性方面远超过Duqu攻击,使得其成为迄今为止最为高级和复杂的威胁,”卡巴斯基实验室全球研究和分析团队(GReAT)总监Costin Raiu表示,“这种水平的安全操作对于网络犯罪集团来说是不正常的。”

        卡巴斯基实验室的研究人员最早在去年注意到Careto,当时他们发现Careto试图利用公司产品的漏洞进行攻击,而该漏洞早在5年前就已经被修复。通过攻击漏洞,恶意软件能够避免自身被检测到。当然,这一情况引起了研究人员的兴趣,所以针对该恶意软件的调查才正式开始。

        对受害者来说,感染Careto恶意软件是一场灾难。Careto会拦截所有通讯渠道,从受害者计算机上收集重要的信息。对该恶意软件进行检测非常困难,因为其具有隐蔽的rootkit功能以及额外的网络间谍模块。

主要研究发现:

  • 恶意软件编写者的母语似乎是西班牙语,这在APT攻击中很少见。
  • 截至2014年1月,这次攻击行动持续了至少5年(因为有些Careto样本编译于2007年)。在卡巴斯基实验室进行调查过程中,其命令和控制(C&C)服务器关闭。
  • 在超过1000个IP中,我们发现超过380个不同的受害者。发现感染的国家包括:阿尔及利亚、阿根廷、比利时、玻利维亚、巴西、中国、哥伦比亚、哥斯达黎加、古巴、埃及、法国、德国、直布罗陀、瓜地马拉、伊朗、伊拉克、利比亚、马来西亚、墨西哥、摩洛哥、挪威、巴基斯坦、波兰、南非、西班牙、瑞士、突尼斯、土耳其、英国、美国和委内瑞拉。
  • 攻击者使用的工具的复杂性和通用性使得这次网络间谍攻击行动非常特殊。包括使用高端的漏洞利用程序、极度复杂的恶意软件、rootkit、bootkit功能以及Mac OS X和Linux版本恶意软件,甚至包含安卓和iOS版本恶意软件。此外,“面具”还会针对卡巴斯基实验室产品进行定制化攻击。
  • 在攻击过程中,攻击者至少使用了一个Adobe Flash Player漏洞利用程序(CVE-2012-0773)。这一漏洞利用程序主要针对10.3和11.2之前版本的Flash Player。这一漏洞利用程序最早被VUPEN所发现,其最初被VUPEN发现并在2012年用于绕过谷歌浏览器的Sandbox而赢得CanSecWest Pwn2own大赛。

感染手段和功能

        根据卡巴斯基实验室的分析报告,“面具”攻击行动依赖于鱼叉式钓鱼攻击邮件,其中包含指向恶意网站的链接。恶意网站包含多种漏洞利用程序,能够根据不同的系统配置感染访问者。一旦成功感染,恶意网站会将用户重定向到邮件中所指的良性网站,如YouTube中的一段影片或某个新闻门户网站。

        必须要注意的是,漏洞利用网站并不会自动感染访问者。攻击者会在网站的特定文件夹存放漏洞利用程序,这些地址无法通过其他链接直接访问,仅能通过恶意电子邮件访问。有时候,攻击者会使用漏洞利用网站的子域名,使得其看上去更为真实。这些子域名会模仿一些西班牙主要新闻网站的分区。此外也包含一些国际性网站,例如《卫报》和《华盛顿邮报》的网站。

        恶意软件会拦截所有通讯渠道,从受感染计算机上收集重要的信息。因为恶意软件使用了隐蔽的rootkit技术,所以对其进行检测非常困难。Careto恶意软件是一种高度模块化的系统,支持插件和配置文件,所以其能够执行大量功能。除了内置功能外,Careto的操控者还能够通过上传其他模块让该恶意软件执行任何恶意任务。

        卡巴斯基实验室的产品目前已经能够检测和清除所有已知版本的“面具”/Careto恶意软件。

        想要阅读该恶意工具的详细分析报告以及计算机感染后的征兆,请访问Securelist网站。您还可以阅读关于该恶意软件的常见问题