A
Kaspersky biztonság cég Kaspersky Security Analyst Summit 2014 nevű
konferencián felfedte mi rejtőzik a múlt héten kiszivárogtatott, Masknak
elnevezett kiberfegyver mögött. Nevét a Careto nevű spanyol szó alapján
kapta, ami többször megjelenik a kódban. A több operációs rendszeren is
futó kiberfegyver elsősorban spanyol nyelvű (nem feltétlenül
spanyolországi) kormányzati intézményeket, energia-, olaj- és gáztermelő
vállalatokat támad. A kutatók több mint 380 egyedi áldozatot találtak
31 országban Algériától Spanyolországon át az USA-ig. Magyar
áldozatokról egyelőre nem tud sem a biztonsági cég, sem a magyar
kiberbiztonsági szakemberek. A Kaspersky Lab szerint a Maskkal legalább
2007 óta folytatnak globális kiberkémkedési kampányokat, a kódot ezalatt
folyamatosan fejlesztették. A támadássorozat aktívan zajlott legalább
öt éven keresztül. 2014 januárjában aztán a Kaspersky vizsgálata közben a
vezérlőszervereket a vírus gazdái lekapcsolták (bár a kutatók szerint
nem zárható ki, hogy később folytatódik a kampány) – tálalták a
WorldTech média-oldalán. A kártékony program a kiberfegyverek sorából is
kiemelkedik bonyolult eszközkészletének, kifinomultságának és
sebességének köszönhetően: rootkit, bootkit is van benne, Mac OS X és
Linux-változatokat, valamint androidos és iOS-es verziókat is tartalmaz a
teljes csomag.
A
kutatók először tavaly fedezték fel a Maskot, amikor észrevették, hogy
kísérletek történtek egy, a saját szoftverükben lévő, már öt éve
kijavított sebezhetőség kihasználására. A támadási kódot kifejezetten
elrejtették a Kaspersky szemei elől. A támadásoknál mások mellett
legalább egy Adobe Flash Player-sebezhetőséget kihasználtak, amit a cég
már 2012-ben befoltozott: ezzel terítették le anno a Chrome-ot, de az
akkori támadást kivitelező VUPEN tagadja, hogy köze lenne a
kiberfegyverhez. A kiberbiztonsági labor szerint a támadók fő célja
érzékeny adatok gyűjtése a megfertőzött rendszerekről. A gyűjtésben
hivatali dokumentumok, titkosítási kulcsok, VPN-konfigurációk,
SSH-kulcsok és távoli asztalokhoz való hozzáférést eltároló RDP-fájlok
szerepelnek. Costin Raiu, a Kaspersky Lab kutatói csapatának tagja
szerint ez az eddigi legdurvább kiberfegyver, fejlettebb a szintén
érzékeny adatok ellopására szakosodott Duqunál is. „Több ok miatt is úgy
véljük, hogy ez egy állam által szponzorált támadássorozat lehet.
Először is a támadások profik, sok eszközzel dolgonak:
infrastruktúra-felügyelet, a művelet lezárása, a kíváncsi szemek
elkerülése hozzáférési szabályok révén, valamint a felülírás a
naplófájlok törlése helyett” – ezek mind szokatlanul nagy odafigyelést
mutatnak a kiberbűnözők általános módszereihez képest. A rosszindulatú
kód mindennél jobban figyel a rejtőzködésre: különböző moduljai
szokatlan módon (pl. weboldalakon elhelyezett sütikkel) és kétféle
tikosítás (RSA és AES) használatával kommunikálnak egymással. Az
áldozatok számára a Mask-fertőzés katasztrofális következményekkel
járhat: a vírus lehallgatja az összes kommunikációs csatornát, és
összegyűjti a legtöbb fontos információt az áldozat gépéről. Az észlelés
kivételesen nehéz a program fejlett rejtőzködési képességei miatt. A
Mask a terjedéshez célzott adathalász emaileket használ, amelyek egy
rosszindulatú webhelyre vezető linkeket tartalmaznak. A weboldalak
sokszor a vezető spanyolországi és nemzetközileg ismert újságok (például
a Washington Post és a Guardian) rovatait szimulálják. A sikeres
fertőzés után a rosszindulatú, hamis oldal átirányítja a felhasználót az
emailben hivatkozott valódi weboldalra, ami lehet egy Youtube-videó
vagy egy hírportál híre is. Az elmúlt években a világ kiberbiztonsági
cégei a magyar Crysys Labbel karöltve több, kormányzatokat és más fontos
célpontokat támadó kiberfegyvert azonosítottak: a felfedezések az iráni
atomprogramot szabotáló, valószínűleg izraeli-amerikai együttműködésből
született Stuxnettel kezdődtek. Ezek után a kutatók több, talán külön
szerzőktől származó, de hasonló kódú, kifinomult kiberfegyvert
azonosítottak: ilyen a Flame (más néven Duqu), a Gauss, a Miniduke, a
Teamspy. Ezek közül több magyarországi célpontokat is támadott. A Mask
szerzői spanyol anyanyelvűnek tűnnek (a kód egyik kommentje pl. úgy szól
hogy „Caguen1aMar”, hosszabban: „me cago en la mar", ami szó szerint
annyit jelent, hogy a tengerbe szartam, de a szlengben a bazdmeg
értelmében használják) ami elég ritka és meglepő a fontos célpontok
ellen kivitelezett támadások esetében.
Az
eddigi kiberfegyverek mögött az USA-t (Stuxnet, Flame), Kínát
(NetTraveler), Oroszországot (RedOctober) és Izraelt (szintén Stuxnet)
sejtették a biztonsági szakemberek: közölük valaki állhat a Duqu és
Gauss mögött is, de találtak már vélhetően észak-koreai fejlesztésű
kiberfegyvert is (Kimsuky). A Kaspersky nem hajlandó megnevezni a
szerintük a Mask mögött álló kormányzatot, de annyit elárultak, hogy a
rosszindulatú program csökkenő sorrendben Marokkóban, Brazíliában, az
Egyesült Királyságban, Franciaországban és Spanyolországban volt a
legaktívabb a múlt heti lekapcsolásáig.
Forrás: WorldTech Média
Nincsenek megjegyzések:
Megjegyzés küldése