Nuovi attori: i criminali informatici che parlano spagnolo stanno colpendo istituzioni governative, società in ambito energetico, compagnie petrolifere e del gas e altre vittime ad alto profilo attraverso malware toolkit di tipo cross-platform. Roma, 11 febbraio 2014 - Oggi il team di ricerca Kaspersky Lab ha annunciato la scoperta di “The Mask” (aka Careto), minaccia avanzata in lingua spagnola che è stata coinvolta in operazioni di cyber-spionaggio a livello mondiale almeno dal 2007. Quello che rende The Mask speciale è la complessità del set di strumenti utilizzato dai cyber criminali. Questo comprende un malware estremamente sofisticato, un rootkit, un bootkit, le versioni Mac OS X e Linux e probabilmente anche le versioni per Android ed iOS (iPad/iPhone). Gli obiettivi principali sono enti governativi, uffici diplomatici e ambasciate, società in ambito energetico, compagnie petrolifere e del gas, società di ricerca e attivisti. Si contano le vittime di questi attacchi mirati in 31 Paesi – da Medio Oriente ed Europa fino ad Africa e America. Ottenere dati sensibili dai sistemi infettati è lo scopo dei criminali informatici. Questi dati comprendono documenti office ma anche chiavi di crittografia, configurazioni VPN, chiavi SSH (che servono come mezzi di identificazione di un utente su un server SSH) e file RDP (utilizzati da Client Remote Desktop per aprire automaticamente una connessione su un computer riservato). “Diverse ragioni ci portano a credere che questa possa essere una campagna sponsorizzata da Stati-Nazioni. Prima di tutto, abbiamo riscontrato un livello di professionalità molto alto nelle procedure operative del gruppo che sta dietro all’attacco. Dalla gestione dell’infrastruttura fino all’arresto delle operazioni, evitando di attirare l’attenzione attraverso le regole di accesso e utilizzando wiping al posto della cancellazione dei file di log. Questa combinazione rende questo APT ancora più sofisticato rispetto a Duqu, diventando una delle minacce più avanzate in questo momento”, ha dichiarato Costin Raiu, Director of the Global Research and Analysis Team (GReAT), Kaspersky Lab. “Questo livello di sicurezza operativa non è normale per un gruppo di cyber-criminali”.
I ricercatori Kaspersky Lab hanno scoperto Careto lo scorso anno quando stavano monitorando i tentativi di sfruttare una vulnerabilità dei prodotti della società, che era stata risolta cinque anni fa. Lo sfruttamento permette al malware di evitare di essere rilevato. Naturalmente, questa situazione ha generato interesse e così è stata avviata l’indagine.
Un’infezione Careto può essere un disastro per le vittime. Careto intercetta tutti i canali di comunicazione e raccoglie le informazioni fondamentali provenienti dalla macchina della vittima. La rilevazione è estremamente difficile a causa delle funzionalità nascoste rootkit, funzionalità integrate e moduli aggiuntivi di cyber-spionaggio.
I risultati principali:
- Gli autori sembrano essere di lingua ispanica, che raramente è stata rilevata negli attacchi APT.
- La campagna è stata attiva per almeno cinque anni fino a Gennaio 2014 (alcuni esempi di Careto sono stati raccolti nel 2007). Durante il corso delle indagini di Kaspersky Lab, i server command-and-control (C&C) erano stati spenti.
- Abbiamo contato oltre 380 vittime uniche tra 1000+IP. Le infezioni sono state rilevate in: Algeria, Argentina, Belgio, Bolivia, Brasile, Cina, Colombia, Costa Rica, Cuba, Egitto, Francia, Germania, Gibilterra, Guatemala, Iran, Iraq, Libia, Malesia, Messico, Marocco, Norvegia, Pakistan, Polonia, Sud Africa, Spagna, Svizzera, Tunisia, Turchia, Regno Unito, Stati Uniti e Venezuela.
- La complessità e l’universalità del toolset usato rende questa operazioni di cyber spionaggio unica. Questo comprende far leva su exploit high-end, una porzione di malware estremamente sofisticata, un rootkit, un bootkit, le versioni Mac OS X e Linux e probabilmente anche le versioni per Android ed iOS (iPad/iPhone). Inoltre, The Mask ha usato un attacco personalizzato contro i prodotti di Kaspersky Lab.
- Tra i vettori di attacco è stato utilizzato almeno un exploit Adobe Flash Player (CVE-2012-0773). E’ stato progettato per le versioni di Flash Player precendenti a 10.3 e 11.2. Questo exploit è stato originariamente scoperto da VUPEN ed è stato usato nel 2012 per sfuggire al sandbox di Google Chrome per vincere il contest CanSecWest Pwn2Own.
Metodi di infezione e funzionalità
Secondo il report di analisi di Kaspersky Lab, la campagna The Mask si basa su email di spear-phishing con link a siti Web nocivi. Il sito Web malevolo contiene un numero di exploit progettati per colpire il visitatore in base alla configurazione del sistema. In seguito al successo dell’infezione, il sito malevolo reindirizza l’utente al sito Web ‘non nocivo’ indicato nell’email, che può essere un filmato su YouTube o un portale di informazioni.
E’ importante notare che i siti Web sfruttati non infettano automaticamente i visitatori, i criminali informatici ospitano gli exploit in cartelle specifiche sul sito, che non hanno nessun riferimento diretto ad eccezione delle email nocive. A volte, i criminali informatici usano dei sotto-domini nei siti di exploit per farli sembrare ancora più realistici. Questi sottodomini simulano delle sotto-sezioni dei principali quotidiani spagnoli e internazionali, come “The Guardian” e Washington Post".
Il malware intercetta tutti i canali di comunicazione e raccoglie le informazioni fondamentali dai sistemi colpiti. La rilevazione è estremamente difficile a causa delle funzionalità nascoste rootkit. Careto è un sistema altamente modulare; supporta plugin e file di configurazione che gli permettono di svolgere numerose funzioni. Oltre alle funzionalità integrate, gli operatori Careto possono caricare moduli aggiuntivi che possono fungere da task nociva.
I prodotti Kaspersky Lab individuano e rimuovono tutte le versioni conosciute del malware The Mask/Careto.
Per leggere il report completo con la descrizione dettagliata degli strumenti nocivi e delle statistiche, insieme agli indicatori di compromissione visita Securelist. Le FAQ complete sono disponibili qui
Informazioni su Kaspersky Lab
Kaspersky Lab e' la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L'azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 16 anni di storia, Kaspersky Lab e' stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza digitale per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding e' registrata in Gran Bretagna, opera in 200 paesi e territori e protegge oltre 300 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.it.
*L'azienda si e' posizionata al quarto posto nel Worldwide Endpoint Security Revenue by Vendor, 2012 di IDC. La classifica e' stata pubblicata nel report IDC Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Il report ha classificato i vendor software in base al fatturato da soluzioni di sicurezza endpoint nel 2012.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
Twitter: https://twitter.com/KasperskyLabIT
Facebook: http://www.facebook.com/kasperskylabitalia
Google Plus: https://plus.google.com/u/0/b/110369116315123340458/110369116315123340458/posts
Contatto di redazione:
Noesis
Cristina Barelli e Valeria Valenti
Cristina.barelli@noesis.net
valeria.valenti@noesis.net
02/8310511
Milano, Via Savona, 19/A
KasperskyLab Italia
Alessandra Venneri
Alessandra.venneri@kaspersky.it
06 58891031 - 3351980618
Roma, Via F. Benaglia 13
