[NEWS] The Mask, la rete di cyber-spionaggio svelata da Kaspersky

[c.m.g]

martedì 11 febbraio 2014

Spoiler:

Quote: Un network altamente sofisticato individuato dai lab moscoviti. Una campagna attiva da anni e che è stata interrotta a pochi giorni dalla pubblicazione dell'analisi della minaccia

Roma - Nel sempre più affollato bestiario dei malware APT (Advanced Persistent Threat) entra ora Careto o "The Mask", sofisticatissimo attacco contro obiettivi di alto profilo individuato da Kaspersky Labs e attivo sin dal 2007. I "pupari" non sono noti ma la security enterprise moscovita identifica le possibili origini spagnole della minaccia. Di certo ha tutta l'aria di un'operazione gestita per conto di un governo nazionale.



Careto - nome identificativo tratto da una stringa di testo presente all'interno del codice del software - è una delle minacce più complesse mai identificate, spiegano gli analisti di Kaspersky, un "pacchetto" tutto compreso che include un malware estremamente sofisticato per Windows (32 e 64-bit), Mac OS X, Linux e forse versioni mobile (Android/iOS), un rootkit e un bootkit per garantirsi la persistenza sulla macchina in caso di pulizia antivirale.

Il software cyber-spione arriva sotto forma di email di phishing altamente personalizzata sui bersagli da colpire, si camuffa come link legittimi a quotidiani online popolari ed è in grado di carpire ogni genere di informazioni dai sistemi infetti comprese chiavi crittografiche, tasti premuti, conversazioni Skype e molto altro ancora.Gli analisti di Kaspersy hanno individuato 380 vittime "uniche" di Careto su 1.000 diversi IP, indirizzi a cui corrispondono agenzie governative, ambasciate, istituti di ricerca, attivisti, società energetiche o di altre industrie sensibili e altri attori "chiave" dislocati in 31 diversi paesi (Europa, Africa, Sudamerica).

Un'operazione complessa e sofisticata come Careto/Mask era evidentemente pensata per passare inosservata, e infatti Kaspersky ha osservato la cessazione delle attività in anticipo sulla pubblicazione dell'analisi approfondita della minaccia. Gli ignoti autori di Careto erano impegnati a monitorare l'infrastruttura di controllo, spiegano gli analisti, e devono quindi essersi accorti del fatto che qualcuno era in ascolto prima di eliminare le tracce dei file di log (tramite "wiping" e non tramite semplice cancellazione) e interrompere tutte le comunicazioni.

Alfonso Maruccia





Fonte immagine: ZDNet

Fonte: Punto Informatico

[Chill-Out]

Quote:

Originariamente inviato da deepdark

Non ho ancora capito se sfrutta vulnerabilità conosciute e non patchate (quindi colpa dell'utente) o se invece sono sconosciute. Sarebbe interessante capire come si comporta emet.

Unveiling Careto/TheMask technical research paper

http://www.securelist.com/en/downloa...emask_v1.0.pdf

[Chill-Out]

Quote:

Originariamente inviato da deepdark

Leggo: The Mask campaign we discovered relies on spear-phishing e-mails with links to a malicious website. The malicious website contains a number of exploits designed to infect the visitor. Upon successful infection, the malicious website redirects the user to a benign website, which can be a Youtube movie or a news portal.
ed anche
It's important to note that the exploit websites do not automatically infect visitors; instead, the attackers host the exploits at specific folders on the website, which are not directly referenced anywhere, except in malicious e-mails. Sometimes, the attackers use subdomains on the exploit websites, to make them appear more genuine.

ma non capisco come e cosa vada a colpire

Vedi pagina 34