Kaspersky: companii din 31 de ţări victime ale The Mask - o avansată operaţiune de spionaj cibernetic

(Sean Gallup / Getty Images)

Kaspersky Lab a dezvăluit că a descoperit una dintre cele mai avansate operaţiuni de spionaj cibernetic la nivel mondial, numită "The Mask". Atacatorii, care sunt vorbitori de limba spaniolă, vizează instituţii guvernamentale, companii din domeniile energiei, petrolului şi gazelor, precum şi alte persoane foarte importante, utilizând un set de instrumente malware mixte şi foarte sofisticate. Victimele sunt din 31 de ţări din întreaga lume - începând cu Orientul Mijlociu şi Europa, până în Africa şi America de Nord şi Sud, potrivit hotnews.

Grupul de cercetare de la Kaspersky Lab a declarat că a descoperit The Mask (alias Careto), care a fost implicată în operaţiuni de spionaj cibernetic încă din anul 2007. Caracterul special al The Mask este neobişnuit datorită complexităţii setului de instrumente folosite de către atacatori, şi anume un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X şi Linux, şi este posibil ca şi variante pentru Android şi ios (ipad/iphone).

Cele mai vizate de The Mask sunt instituţii guvernamentale, birouri diplomatice şi ambasade, companii din domeniul energiei, petrolului şi gazelor, organizaţii de cercetare şi activişti. Victimele speciale ale atacului sunt din 31 de ţări din întreaga lume din Orientul Mijlociu, Europa, Africa, din America de Nord şi America de Sud, afirmă Kaspersky.

Obiectivul prioritar al atacatorilor este acela de a aduna informaţii confidenţiale din sistemele infectate. Acestea includ documente oficiale, dar şi diverse chei de criptare, configuraţii VPN, chei SSH, care au rolul de a găsi un utilizator sau un server SSH, precum şi fişiere RDP - utilizate de către Remote Desktop Client pentru a deschide automat o conexiune cu computerul rezervat.

"Există o serie de motive pentru care credem că aceasta ar putea fi o campanie sponsorizată de către un stat", spune Costin Raiu, directorul Global Research and Analysis Team (great) în cadrul Kaspersky Lab.

"În primul rând am observat un grad foarte înalt de profesionalism în ceea ce priveşte procedurile operaţionale ale grupului din spatele acestui atac. De la administrarea infrastructurii, închiderea operaţiunii, evitarea accesului persoanelor neautorizate prin intermediul regulilor de acces şi utilizarea ştergerii definitive (wiping) in locul ştergerii parţiale (deletion) a fişierelor de log. Aceasta combinaţie face ca acest atacator să fie mai sofisticat chiar decât Duqu, fiind una dintre cele mai avansate ameninţări în acest moment. Acest nivel de sofisticare nu este normal pentru grupările de infractori cibernetici", a precizat Raiu.

Cercetătorii Kaspersky Lab au aflat de existenţa lui Careto anul trecut, când au observat încercări de a exploata o vulnerabilitate a produselor companiei, care fusese reparată cu cinci ani în urmă. Exploit-ul respectiv dădea malware-ului capacitatea de a împiedica detectarea. Desigur, această situaţie le-a atras atenţia şi astfel a început investigaţia.

Pentru victime, o infecţie cu Careto poate fi groaznică. Careto interceptează toate canalele de comunicare şi strânge cele mai importante informaţii de pe dispozitivul victimei. Detectarea este foarte dificilă datorită capacităţilor de rootkit foarte discrete, a funcţionalităţilor încorporate şi a modulelor suplimentare de spionaj cibernetic, afirmă cei de la compania rusă de securitate.