视频: --Ó--º—Ë—Ä--∑--ª--∞—È --∫—Ä--Æ—Û —Å--Æ--Ω—Ü--∞ (十一月 2024)
卡巴斯基实验室的研究人员使用迄今为止发现的最先进的工具,发现了针对全球政府,能源,石油和天然气组织的网络间谍活动。 该公司表示,这次行动的全部目的是进行民族国家袭击。
卡巴斯基实验室全球研究与分析团队主管Costin Raiu和他的团队在周一的卡巴斯基实验室安全分析师峰会上揭露了“面具”背后的细节,描述了该操作如何使用rootkit,bootkit和为Windows,Mac OS X和Linux。 该团队说,甚至可能使用了Android和iOS版本的恶意软件。 从所有指标来看,《面具》是一项民族国家精英运动,其结构甚至比与Stuxnet相关的Flame运动更为复杂。
“这是我所见过的最好的团队之一。以前,最好的APT团队是Flame背后的团队,但是现在,由于管理基础架构的方式以及他们对威胁的反应方式以及反应和专业化的速度,我的观点有所改变。 ”,Raiu说。 面具超越了“火焰和迄今为止我们所见的任何其他事物”。
这项行动在大约五年内未被发现,并影响了380名受害者,其中约有1000多个目标IP地址属于政府实体,外交机构和使馆,研究机构和维权人士。 受影响的国家很长,包括阿尔及利亚,阿根廷,比利时,玻利维亚,巴西,中国,哥伦比亚,哥斯达黎加,古巴,埃及,法国,德国,直布罗陀,危地马拉,伊朗,伊拉克,利比亚,马来西亚,墨西哥,摩洛哥,挪威,巴基斯坦,波兰,南非,西班牙,瑞士,突尼斯,土耳其,英国,美国和委内瑞拉。
打开面具的包装
掩码也称为Careto,它会窃取文档和加密密钥,虚拟专用网络(VPN)的配置信息,安全Shell(SSH)的密钥以及远程桌面客户端的文件。 它还会从日志中清除其活动的痕迹。 卡巴斯基实验室表示,该恶意软件具有模块化架构,并支持插件和配置文件。 也可以使用新模块进行更新。 该恶意软件还试图利用卡巴斯基安全软件的旧版本。
Raiu说:“它试图滥用我们的一种成分来隐藏。”
攻击始于带有网络钓鱼邮件的电子邮件,这些电子邮件带有指向托管多个漏洞的恶意URL的链接,然后最终将用户引导到邮件正文中引用的合法站点。 此时,攻击者可以控制受感染机器的通信。
攻击者利用了针对Adobe Flash Player中一个漏洞的漏洞,利用该漏洞,攻击者可以绕过Google Chrome中的沙箱。 该漏洞最早由法国漏洞经纪人VUPEN于2012年在CanSecWest的Pwn2Own竞赛中成功利用。 VUPEN拒绝透露有关如何进行攻击的详细信息,称他们希望将其保存给客户。 Raiu并没有直截了当地说The Mask中使用的漏洞与VUPEN的漏洞相同,但证实这是相同的漏洞。 劳尤说:“也许有人亲自利用。”
VUPEN到Twitter否认此操作曾使用过该漏洞利用程序,他说:“我们有关#Mask的官方声明:该漏洞利用程序不是我们的,可能是通过#Adobe 2之后拥有的Adobe发行的补丁程序发现的。” 换句话说,攻击者将修补的Flash Player与未修补的版本进行了比较,找出了差异,并推断出漏洞利用的本质。
面具现在在哪里?
Raiu说,当卡巴斯基上周在其博客上发布了《面具》的预告片时,攻击者开始关闭其行动。 AlienVault实验室的研究主管Jaime Blasco说,攻击者能够在卡巴斯基发布预告片后的四个小时内关闭其基础设施,这表明攻击者是真正的专业人士。
卡巴斯基实验室已经关闭了与该操作相关的命令和控制服务器,而苹果关闭了与Mac版本的漏洞利用相关的域,但Raiu认为它们只是整个基础架构的“快照”。 劳尤说:“我怀疑我们的行动窗口非常狭窄。”
尽管可以很容易地假设,因为西班牙语代码中有注释,攻击者来自西班牙语国家,但Raiu指出,攻击者可以轻易使用其他语言作为危险信号,以使调查人员偏离轨道。 面具现在在哪里? 我们只是不知道。
