Video: How To Keep People On Your Instagram (Nobyembre 2024)
Ang mga mananaliksik ng Kaspersky Lab ay walang takip sa isang operasyon ng cyber spionage laban sa mga organisasyon ng gobyerno, enerhiya, langis, at gas sa buong mundo gamit ang pinaka sopistikadong hanay ng mga tool na nakikita hanggang sa kasalukuyan. Sinabi ng kumpanya na ang operasyon ay ang lahat ng mga earmarks ng pagiging isang pag-atake ng bansa-estado.
Si Costin Raiu, direktor ng pandaigdigang koponan ng pananaliksik at pagsusuri sa Kaspersky Lab, at ang kanyang koponan ay hindi nabanggit ang mga detalye sa likod ng "The Mask" sa Kaspersky Lab Security Analysts Summit noong Lunes, na naglalarawan kung paano ginamit ang operasyon ng isang rootkit, bootkit, at malware na dinisenyo para sa Windows, Mac OS X, at Linux. Maaaring mayroong kahit na mga bersyon ng Android at iOS ng malware na ginamit, sinabi ng koponan. Sa pamamagitan ng lahat ng mga tagapagpahiwatig, Ang Mask ay isang piling tao na kampanya ng estado, at ang istraktura nito ay mas sopistikado kaysa sa kampanya ng Flame na nauugnay sa Stuxnet.
"Ito ang isa sa pinakamahusay na nakita ko. Noong nakaraan, ang pinakamahusay na pangkat ng APT ay ang nasa likod ng Flame, ngunit ngayon na nagbabago ng aking opinyon dahil sa paraan ng pamamahala ng imprastruktura at ang paraan ng kanilang reaksiyon sa mga pagbabanta at ang bilis ng reaksyon at propesyonalismo, "Sabi ni Raiu. Ang Mask ay pumunta "lampas sa Flame at anumang bagay na nakita namin hanggang ngayon."
Ang operasyon ay hindi natuklasan ng halos limang taon at naapektuhan ang 380 na biktima tungkol sa higit sa 1, 000 na mga target na IP na pag-aari ng mga ahensya ng gobyerno, mga tanggapan ng diplomatikong at embahada, mga institute ng pananaliksik, at mga aktibista. Mahaba ang listahan ng mga apektadong bansa, kabilang ang Algeria, Argentina, Belgium, Bolivia, Brazil, China, Colombia, Costa Rica, Cuba, Egypt, France, Germany, Gibraltar, Guatemala, Iran, Iraq, Libya, Malaysia, Mexico, Morocco, Norway, Pakistan, Poland, South Africa, Spain, Switzerland, Tunisia, Turkey, United Kingdom, Estados Unidos, at Venezuela.
Binubuksan ang Mask
Ang Mask, na nagngangalang Careto, ay nagnanakaw ng mga dokumento at mga susi sa pag-encrypt, impormasyon sa pagsasaayos para sa Virtual Private Networks (VPN), mga susi para sa Secure Shell (SSH), at mga file para sa Remote Desktop Client. Pinupunasan din nito ang mga aktibidad ng mga aktibidad nito mula sa log. Sinabi ni Kaspersky Lab na ang malware ay may isang modular na arkitektura at sumusuporta sa mga plug-in at mga file ng pagsasaayos. Maaari din itong mai-update sa mga bagong module. Sinubukan din ng malware na samantalahin ang isang mas lumang bersyon ng software ng seguridad ng Kaspersky.
"Sinusubukan na abusuhin ang isa sa aming mga sangkap upang itago, " sabi ni Raiu.
Ang pag-atake ay nagsisimula sa mga email sa spear-phishing na may mga link sa isang nakakahamak na URL na nagho-host ng maraming mga pagsasamantala bago sa huli ihatid ang mga gumagamit sa lehitimong site na isinangguni sa katawan ng mensahe. Sa puntong ito, ang mga umaatake ay may kontrol sa mga komunikasyon na nahawaang makina.
Gumamit ang mga magsasalakay ng isang pagsasamantala na nag-target sa isang kahinaan sa Adobe Flash Player na nagpapahintulot sa mga umaatake na lumipas ang sandbox sa Google Chrome. Ang kahinaan ay unang matagumpay na pinagsamantalahan sa panahon ng paligsahan ng Pwn2Own sa CanSecWest pabalik sa 2012 ng French kahinaan broker VUPEN. Tumanggi ang VUPEN na ibunyag ang mga detalye kung paano ito ginawang pag-atake, sinasabing nais nilang i-save ito para sa kanilang mga customer. Hindi sinabi ni Raiu na ang pagsasamantala na ginamit sa Mask ay katulad ng VUPEN's, ngunit kinumpirma na ito ay ang parehong kahinaan. "Siguro may nagsasamantala sa kanilang sarili, " sabi ni Raiu.
Kinuha ng VUPEN sa Twitter upang tanggihan ang pagsasamantala nito ay ginamit sa operasyong ito, na nagsasabing, "Ang aming opisyal na pahayag tungkol sa #Mask: ang pagsasamantala ay hindi atin, marahil ito ay natagpuan sa pamamagitan ng pagkakaiba ng patch na inilabas ng Adobe pagkatapos ng # Pwn2Own." Sa madaling salita, inihambing ng mga umaatake ang naka-patched na Flash Player sa hindi ipinadala na edisyon, binura ang mga pagkakaiba-iba, at binawasan ang likas na pagsasamantala.
Nasaan ang Mask Now?
Kapag nai-post ni Kaspersky ang isang teaser ng The Mask sa blog nito noong nakaraang linggo, sinimulan ng mga umaatake ang pagsara sa kanilang mga operasyon, sinabi ni Raiu. Ang katotohanan na ang mga umaatake ay nakapagpapatay ng kanilang imprastraktura sa loob ng apat na oras matapos mailathala ni Kaspersky ang teaser ay nagpapahiwatig na ang mga umaatake ay talagang propesyonal, sinabi ni Jaime Blasco, direktor ng pananaliksik sa AlienVault Labs.
Habang isinara ng Kaspersky Lab ang mga server ng command-and-control na natagpuan na nauugnay sa operasyon at isinara ng Apple ang mga domain na nauugnay sa Mac bersyon ng pagsasamantala, naniniwala si Raiu na sila ay "snapshot" lamang ng pangkalahatang imprastraktura. "Inaasahan kong nakakakita kami ng isang makitid na bintana sa kanilang operasyon, " sabi ni Raiu.
Habang madaling ipalagay na dahil may mga puna sa code sa Espanyol na ang mga umaatake ay mula sa isang bansang nagsasalita ng Espanya, sinabi ni Raiu na ang mga umaatake ay madaling gumamit ng ibang wika bilang isang pulang watawat upang itapon ang mga investigator. Nasaan na ang The Mask? Hindi namin alam.
