Novo
Agora IDGNow! é IT Midia.com
Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Logo ITMidia
Logo ComputerWorld
Logo PCWorld
Logo CIO
Logo ITForum
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Últimas notícias do conteúdo : Ver todos
The Mask é uma avançada operação de ciberespionagem global, diz Kaspersky
The Mask é uma avançada operação de ciberespionagem global, diz Kaspersky
Home > Internet

The Mask é uma avançada operação de ciberespionagem global, diz Kaspersky

Kaspersky Lab descobre a campanha, que está ativa desde 2007, e possui um kit de ferramentas multiplataforma extremamente sofisticado.

Da Redação

11/02/2014 às 14h32

Foto:

Hoje, a equipe de pesquisa de segurança da Kaspersky Lab anunciou nessa terça-feira (11) a descoberta do The Mask (mais conhecido como Careto), uma ameaça avançada de língua espanhola que está envolvida em operações de ciberespionagem desde 2007.

A campanha está ativa há pelo menos cinco anos até janeiro de 2014 (algumas amostras de Careto foram compiladas em 2007). Durante o curso das investigações da Kaspersky Lab, os servidores de comando e controle (C&C) foram fechados.

O que torna o The Mask especial é a complexidade do kit de ferramentas multiplataforma usado pelos criminosos. Isso inclui um malware extremamente sofisticado, um rootkit, bootkit, versões para Mac OS X e Linux e, possivelmente, para iOS (iPad e iPhone). 

O The Mask também usou um ataque personalizado contra produtos da Kaspersky Lab.

Os principais alvos são instituições governamentais, embaixadas e escritórios diplomáticos, companhias de energia, óleo e gás; organizações de pesquisa e ativistas. As vítimas desse ataque dirigido foram encontradas em 31 países – do Oriente Médio e Europa à África e Américas, incluindo o Brasil.

O principal objetivo dos criminosos é compilar dados sensíveis dos sistemas infectados. Isso inclui além de documentos de escritório, várias chaves de criptografia, configurações VPN, chaves SSH (com o objetivo de identificar o usuário em um servidor SSH) e arquivos RDP (utilizados pelo Remote Desktop Client para automaticamente abrir uma conexão com um computador reservado).

“Vários motivos nos fazem acreditar que isso poderia ser uma campanha organizada por um Estado. Em primeiro lugar, observamos um alto grau de profissionalismo nos procedimentos operacionais do grupo por trás deste ataque. Desde a gestão de infraestrutura até o desligamento da operação, evitando os olhos curiosos através de regras de acesso, utilizando a limpeza ao invés da exclusão de arquivos de log. Estas precauções combinadas colocam esse ataque APT à frente do Duqu em termos de sofisticação, tornando-se uma das ameaças mais avançadas no momento", disse Costin Raiu, diretor de Pesquisa e Análise Global da Kaspersky Lab. “Esse nível de segurança operacional não é normal para os grupos de cibercriminosos".

Pesquisadores da Kaspersky Lab, inicialmente, descobriram o The Mask no ano passado, quando observaram tentativas de explorar uma vulnerabilidade em produtos da empresa que foram corrigidos há cinco anos. O exploit possibilitou que o malware garantisse a capacidade de evitar a detecção. É claro que esta situação levantou o interesse dos pesquisadores e assim que a investigação começou.

Entre os vetores do ataque, pelo menos um Adobe Flash Player exploit (CVE-2012-0773) foi usado. Ele foi projetado para versões do Flash Player anteriores ao 10.3 e 11.2. Este exploit foi originalmente descoberto por VUPEN e foi usado em 2012 para escapar do Sandbox do Google Chrome e ganhou o concurso CanSecWest Pwn2Own.

Para as vítimas, uma infecção com o The Mask pode ser desastrosa. O ataque intercepta todos os canais de comunicação e coleta as informações mais importantes da máquina da vítima. A detecção é extremamente difícil por causa de recursos furtivos de rootkit, funcionalidades built-in e módulos de ciberespionagem adicionais. 

Métodos de infecção e funcionalidade

De acordo com a análise da Kaspersky Lab, a camapanha The Mask lança phising com links para um site malicioso. O site malicioso contém uma série de exploits projetados para infectar o visitante, dependendo da configuração do sistema. Depois da infecção, o site redireciona o usuário para o site benigno referenciado no e-mail, que pode ser um filme do YouTube ou um portal de notícias.

É importante notar o que os websites explorados não afetam automaticamente os usuários; em vez disso, os atacantes guardam as façanhas em pastas específicas no site, que não estão diretamente referenciados em qualquer lugar, exceto em e-mails maliciosos. Às vezes, os criminosos usam subdomínios nos sites, para fazê-los parecer mais real. Estes subdomínios simulam subseções dos principais jornais na Espanha além de alguns internacionais, por exemplo, "The Guardian" e "Washington Post".

As interceptações de malware em todos os canais de comunicação recolhem as informações mais importantes a partir do sistema infectado. A detecção é extremamente difícil por causa de recursos rootkit. O The Mask é um sistema altamente modular, que suporta encaixes e arquivos de configuração, que lhe permitem executar um grande número de funções. Além de funcionalidades embutidas, os operadores do The Mask podem carregar módulos adicionais que executariam qualquer tarefa maliciosa.

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail
Vai um cookie?

A IT Mídia usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Ir para o site