Розкрито глобальна кампанія кібершпіонажу «Маска»
«Лабораторія Касперського» оголосила про розкриття глобальної мережі кібершпіонажу «Маска», за якою стоять испаноговорящие зловмисники. Виявлені сліди вказують на те, що операція ведеться як мінімум з 2007 року. Її виділяє складність арсеналу атакуючих, який включає в себе низку вкрай витончених шкідливих програм, розроблених для різних платформ, включаючи Mac OS X, Linux і, можливо, iOS.
Дії зловмисників в першу чергу були спрямовані на державні організації, дипломатичні офіси і посольства, енергетичні та нафтогазові компанії, дослідницькі організації і політичних активістів. За підрахунками «Лабораторії Касперського» жертвами цієї таргетованої атаки стали 380 користувачів з 31 країн по всьому світу, включаючи Близький Схід, Європу, Африку та Америку.
Головною метою атакуючих був збір цінної інформації із заражених систем, включаючи різні документи, ключі шифрування, налаштування VPN, що застосовуються для ідентифікації користувача на сервері SSH-ключі, а також файли, використовувані програмами для забезпечення віддаленого доступу до комп'ютера.
«Кілька причин змушують нас думати, що це може бути кампанією, забезпеченого державною підтримкою. Насамперед, ми спостерігаємо вкрай високий рівень професіоналізму в діях групи, яка забезпечує моніторинг власної інфраструктури, приховує себе за допомогою правил системи розмежування доступу, начисто стирає вміст журнальних файлів замість звичайного їх видалення, а також при необхідності припиняє всілякі дії. Такий рівень самозахисту нетиповий для кіберзлочинців. Все це ставить дану кампанію за рівнем складності навіть вище Duqu - можна сказати, це найскладніша загроза такого класу на даний момент», - пояснив Костін Райю, керівник глобального дослідницького центру «Лабораторії Касперського».
Для жертв зараження може обернутися катастрофічними наслідками. Шкідливе ПО перехоплює всі комунікаційні канали і збирає найбільш важливу інформацію з комп'ютера користувача. Виявлення зараження надзвичайно складно через доступних в рутките механізмів приховування і наявних додаткових модулів кібершпіонажу. На додаток до вбудованих функцій, зловмисники могли закачувати на комп'ютер заражений модулі, що дозволяють виконати набір будь-яких шкідливих дій.
Ретельне дослідження показало, що для авторів цих програм іспанська є рідною мовою - цього раніше не спостерігалося в атаках подібного рівня. Аналіз показав, що операція «Маска» активно велася протягом 5 років до січня 2014 року (а деякі зразки шкідливого ПЗ мали дату складання 2007 року) - під час проведення дослідження керуючі сервера зловмисників були згорнуті.
Додатково