חוקרי מעבדת קספרסקי חשפו פעולות ריגול סייבר נגד ארגוני ממשל, אנרגיה, נפט וגז ברחבי העולם באמצעות מערך הכלים המתוחכם ביותר שנראה עד כה. מהחברה נמסר כי למבצע יש את כל הסימנים להיות פיגוע של מדינת לאום.
קוסטין ראיו, מנהל צוות המחקר והניתוח העולמי במעבדת קספרסקי וצוותו חשפו את הפרטים שמאחורי "המסכה" בוועידת אנליסטים אבטחת מעבדת קספרסקי ביום שני, ותיאר כיצד הפעולה השתמשה בערכת root, bootkit ותוכנות זדוניות המיועדות ל Windows, Mac OS X ו- Linux. יתכנו אפילו גרסאות אנדרואיד ו- iOS של התוכנות הזדוניות בהן נעשה שימוש, אמר הצוות. על פי כל המדדים, המסכה היא קמפיין מדינת לאום מובחרת, והמבנה שלו מתוחכם אפילו יותר מאשר קמפיין הלהבה הקשור ל- Stuxnet.
"זה אחד הטובים שראיתי. בעבר, קבוצת ה- APT הטובה ביותר הייתה זו שמאחורי להבה, אבל עכשיו זה משנה את דעתי בגלל הדרך לנהל את התשתית ואת הדרך בה הם מגיבים לאיומים ומהירות התגובה והמקצועיות "אמר ראיו. המסכה עוברת "מעבר ללהבה וכל דבר אחר שראינו עד כה."
המבצע לא התגלה במשך כחמש שנים והשפיע על 380 קורבנות של יותר מאלף כתובות IP ממוקדות השייכות לגורמים ממשלתיים, משרדים דיפלומטיים ושגרירויות, מכוני מחקר ופעילים. רשימת המדינות שנפגעו ארוכה, כולל אלג'יר, ארגנטינה, בלגיה, בוליביה, ברזיל, סין, קולומביה, קוסטה ריקה, קובה, מצרים, צרפת, גרמניה, גיברלטר, גואטמלה, איראן, עיראק, לוב, מלזיה, מקסיקו, מרוקו, נורבגיה, פקיסטן, פולין, דרום אפריקה, ספרד, שוויץ, תוניס, טורקיה, בריטניה, ארצות הברית וונצואלה.
פרוק את המסכה
המסכה, המכונה גם Careto, גונבת מסמכים ומפתחות הצפנה, מידע על תצורה עבור רשתות פרטיות וירטואליות (VPN), מפתחות עבור Secure Shell (SSH) וקבצים עבור לקוח שולחן עבודה מרוחק. זה גם מוחה עקבות מפעילויותיו מהיומן. ממעבדת קספרסקי נמסר כי התוכנה הזדונית היא בעלת ארכיטקטורה מודולרית והיא תומכת בתוספות וקבצי תצורה. ניתן לעדכן אותו גם באמצעות מודולים חדשים. התוכנה הזדונית גם ניסתה לנצל גרסה ישנה יותר של תוכנת האבטחה של קספרסקי.
"הוא מנסה להתעלל באחד המרכיבים שלנו כדי להסתיר, " אמר Raiu.
ההתקפה מתחילה בהודעות דוא"ל עם חנית-דיוג עם קישורים לכתובת אתר זדונית המארחת ניצולים מרובים לפני שהיא מועברת בסופו של דבר את המשתמשים לאתר הלגיטימי שמוזכר בגוף ההודעות. בשלב זה, לתוקפים יש שליטה על התקשורת של המכונה הנגועה.
התוקפים השתמשו בניצול שממוקד לפגיעות ב- Adobe Flash Player המאפשר לתוקפים ואז לעקוף את ארגז החול ב- Google Chrome. הפגיעות נוצלה לראשונה בהצלחה במהלך תחרות Pwn2Own ב- CanSecWest עוד בשנת 2012 על ידי מתווך הפגיעויות הצרפתי VUPEN. VUPEN סירב לחשוף פרטים על אופן ביצוע הפיגוע באומרו שהם רוצים לחסוך אותו עבור לקוחותיהם. Raiu לא אמר על הסף שהנצל ששימש את המסכה זהה לזה של VUPEN, אך אישר שזו אותה פגיעות. "אולי מישהו שמנצל את עצמם, " אמר ראיו.
VUPEN לקח לטוויטר להכחיש כי השימוש בו נעשה בשימוש בפעולה זו, באומרו, "ההצהרה הרשמית שלנו בנושא # מסכה: המנצל אינו משלנו, ככל הנראה הוא נמצא על ידי הפרדת התיקון ששוחררה על ידי Adobe לאחר # Pwn2Own." במילים אחרות, התוקפים השוו את נגן הפלאש הטלאי למהדורה שלא נתפסה, הוציאו את ההבדלים והסיקו את אופיו של המנצל.
איפה המסכה עכשיו?
כאשר קספרסקי פרסם בשבוע שעבר טיזר של The Mask בבלוג שלו, התוקפים החלו לסגור את פעולותיהם, אמר Raiu. העובדה שהתוקפים הצליחו לסגור את התשתית שלהם תוך ארבע שעות לאחר שקספרסקי פרסם את הטיזר מעידה כי התוקפים היו באמת מקצועיים, אמר ג'יימה בלסקו, מנהל המחקר במעבדות AlienVault.
בעוד שמעבדת קספרסקי כיבתה את שרתי הפקודה והבקרה שהיא מצאה הקשורים לפעולה ואפל כיבתה את הדומיינים הקשורים לגירסת ה- Mac של המנצל, Raiu מאמינה שהם רק "תמונת מצב" של התשתית הכוללת. "אני חושד שאנחנו רואים חלון צר מאוד בפעולה שלהם, " אמר ראיו.
אמנם קל להניח שמכיוון שהיו בספרדית הערות בקוד כי התוקפים היו ממדינה דוברת ספרדית, ראיו ציין כי התוקפים יכלו בקלות להשתמש בשפה אחרת כדגל אדום כדי לזרוק את החוקרים מחוץ למסלול. איפה המסכה עכשיו? אנחנו פשוט לא יודעים.
