11 февраля 2014

Кто прячется за «Маской»?

Угрозы

Есть мнение, что очередной всемирный конфликт, то есть та самая Третья мировая война, уже много лет идет полным ходом прямо у нас под носом. Но происходит она не на улицах, и предметом битвы является не захват чужой территории. Все гораздо интереснее: мы живем во время ожесточенных боевых действий, происходящих исключительно в рамках киберпространства, за один-единственный ресурс — информацию. И главным оружием в этой войне выступает кибершпионаж.

Careto/The Mask/Маска

За последние годы разными специалистами в области кибербезопасности была обнаружена и обезврежена целая плеяда мощных шпионских программ: Stuxnet, Flame, Duqu и Gauss. И вот теперь благодаря исследователям из «Лаборатории Касперского» к этому списку прибавилось еще одно имя — Careto, что в переводе с испанского означает «маска» или «уродливое лицо». По словам экспертов, данный зловред, ставший основной для глобальной сети кибершпионажа, является одним из самых сложных и искусно выполненных на сегодняшний день. Что он собой представляет, как работает и кто за всем этим стоит? Разберемся по порядку.

Что такое «Маска» и кто ее цель?

«Маска» — чрезвычайно сложное и профессионально разработанное вредоносное ПО, используемое для кибершпионажа как минимум с 2007 года. Основными мишенями Careto являются преимущественно государственные учреждения, энергетические предприятия, исследовательские институты и частные инвестиционные фонды. Всего же, по предварительным данным, существует не менее 380 уникальных жертв из 31 страны (включая США, Китай и многие европейские государства), чьи компьютеры были атакованы «Маской». Причем есть некоторые основания полагать, что это лишь верхушка айсберга.

Как работает этот зловред?

Основа распространения «Маски» — это фишинговые сообщения. В них встроены ссылки на вредоносные сайты, на которых содержатся эксплойты, рассчитанные на разные конфигурации атакуемого компьютера. После попадания в систему Careto берет контроль над всеми каналами обмена информацией и начинает перехватывать определенные данные. Обнаружить шпиона при этом крайне трудно: зловред эффективно прячется в системе и практически не выдает своего присутствия даже во время активной работы. Ситуацию усугубляет еще и тот факт, что встроенные функции «Маски» могут дополняться модулями, значительно расширяющими возможности зловреда. Практически это позволяет злоумышленникам совершать любые зловредные действия на пораженной системе.

Какие платформы подвержены угрозе?

На сегодняшний день точно известно о существовании версий «Маски» под Windows и Mac OS X. Заражение Linux также вероятно, но точного подтверждения этому пока нет. Кроме того, анализ командных серверов злоумышленников выявил возможность существования угрозы для устройств на базе iOS и Android.

Насколько технически продвинута эта атака?

Зловред Careto стал основой в некотором смысле самой продвинутой сети кибершпионажа на сегодняшний день. «Маска» по сложности превосходит даже троянца Duqu и способна противодействовать работе старых версий защитных продуктов «Лаборатории Касперского», что позволяет программе оставаться совершенно незаметной.

Что именно может украсть «Маска» с атакованного устройства?

Зловред способен собирать целый ряд данных, в том числе ключи шифрования, файлы конфигурации VPN, текстовые документы, таблицы и т.д. Кроме того, «Маске» были доступны специфические файлы с неизвестными расширениями, которые предположительно могут являться инструментами шифрования военного уровня.

Кто за всем этим стоит?

Определить автора «Маски» — задача чрезвычайно сложная, и улик, явно указывающих на определенного человека или круг лиц, пока не найдено. Анализ кода программы дает все основания полагать, что родным языком создателей Careto является испанский, однако точно определить страну происхождения пока не представляется возможным.

В то же время некоторые факты, в том числе нетипичный для обычных киберпреступников исключительный профессионализм в выполнении атак и в уровне самозащиты, выявленные при анализе «Маски», позволяют предполагать, что данная кампания поддерживалась одним из государств.

Что теперь будет?

Активность «Маски» прекратилась в январе 2014 года, когда эксперты «Лаборатории Касперского» проводили расследование, подключившись к командным серверам. Учитывая, что кампания длилась как минимум с 2007 года, а ее заказчики и исполнители пока остаются неизвестны, активность зловреда может возобновиться.

Впрочем, текущие версии продуктов «Лаборатории Касперского» успешно обнаруживают и удаляют все известные версии Careto, так что беспокоиться не о чем.

География Careto