Исследование

Careto/»Маска» APT: часто задаваемые вопросы


Что такое Careto / «Маска»?

«Маска» – это очень профессионально разработанная шпионская кампания, которая была активна как минимум с 2007 г.

Специфика «Маски» состоит в многообразии и сложности инструментов, которые могут использовать киберпреступники: это исключительно сложный вредоносный код с функциональностью руткита и буткита, версии под Mac OS X и Linux и, вероятно, версии для iPad/iPhone (iOS).

В «Маске» также  используется специальная атака против старых версий защитных продуктов «Лаборатории Касперского», направленная на препятствие обнаружению присутствия «Маски» в системе. Таким образом «Маска» по сложности превосходит Duqu и на данный момент является одной из наиболее тщательно разработанных угроз. Этот факт, наряду с некоторыми другими, заставляет нас предположить, что эта кампания обеспечивается поддержкой какого-то государства.

Почему она так называется – «Маска»?

Название «Маска» происходит от испанского слэнгового слова careto («маска», «уродливое лицо»). Так авторы назвали одну из вредоносных программ, использованных в ходе шпионской кампании.

=

Кто жертвы? Кто является мишенью этих атак?

Основные мишени Careto:

  • Государственные учреждения
  • Дипломатические корпусы и посольства
  • Энергетические, нефтяные и газовые компании
  • Исследовательские институты
  • Частные инвестиционные компании
  • Политические и общественные активисты

Известно ли общее число подвергшихся атакам?

Хотя точное число жертв неизвестно, мы выявили более 1000 IP-адресов жертв в 31 стране. Случаи заражений были замечены в Алжире, Аргентине, Бельгии, Боливии, Бразилии, Великобритании, Венесуэле, Германии, на Гибралтаре, в Гватемале, Египте Ираке, Иране, Испании, Китае, Колумбии, Коста-Рике, на Кубе, в Ливии, Малайзии, Мексике, Марокко, Норвегии, Пакистане, Польше, США, Тунисе, Турции, Франции, Швейцарии и ЮАР.

Используя разработанный нами алгоритм идентификации, мы насчитали более 380 уникальных жертв, которым соответствуют более 1000 IP-адресов.

Следует сказать, что это не полное число жертв; мы отследили атакованные компьютеры, связанные лишь с частью командных серверов и хостов, которые мы подвергли процедуре sinkhole. Общее число уникальных жертв и затронутых стран может быть значительно выше.

Что делает Careto? Что происходит после заражения компьютера?

Для жертв заражение компьютеров программой Careto может быть катастрофическим. Зловред перехватывает различные каналы обмена информацией и собирает наиболее важную информацию из зараженной системы. Обнаружить Careto чрезвычайно сложно, программа эффективно скрывает свое присутствие в системе. Вдобавок ко встроенным функциям операторы Careto могут загружать дополнительные модули, с помощью которых можно выполнять любую вредоносную задачу. Учитывая, какие организации попали в список жертв, можно утверждать, что последствия вредоносного воздействия могут быть очень серьезными.

Как Careto заражает компьютеры?

Обнаруженная нами кампания строится на рассылке целевых фишинговых сообщений, содержащих ссылки на вредоносный веб-сайт. Вредоносный сайт содержит ряд эксплойтов, которые должны заразить компьютер пользователя с учётом конфигурации его системы. После заражения компьютера вредоносный сайт перенаправляет пользователя на легитимный сайт, который упоминался в письме – это может быть YouTube или новостной портал.

Следует отметить, что веб-сайты с эксплойтами не заражают компьютеры пользователей автоматически. Вместо этого киберпреступники размещают эксплойты в определенных папках на веб-сайте, прямые ссылки на которые присутствуют только во вредоносных сообщениях и больше нигде. Иногда на вредоносных веб-страницах киберпреступники создают подразделы, чтобы придать странице вид легитимного ресурса.  Эти подразделы имитируют веб-страницы главных газет Испании и некоторых известных газет других стран, таких как The Guardian и The Washington Post.

Используют ли киберпреступники в этих атаках какие-либо 0-day уязвимости?

Мы наблюдали несколько векторов заражения. В их числе – по крайней мере один эксплойт к уязвимости в Adobe Flash Player (CVE-2012-0773). Этот эксплойт предназначен для версий Flash Player до 10.3 и 11.2.

Уязвимость CVE-2012-0773  была обнаружена компанией VUPEN и имеет интересную историю. Эксплойт к этой уязвимости впервые взломал «песочницу» Chrome. В 2012 году он использовался в конкурсе хакеров CanSecWest Pwn2Own командой VUPEN, которая и выиграла конкурс. Эксплойт стал причиной полемики, поскольку команда VUPEN отказалась раскрыть, как она смогла обойти «песочницу» Chrome, заявив, что компания планирует продать эксплойт своим клиентам. Возможно, группа, создавшая Careto, приобрела эксплойт у VUPEN (см. историю Райана Нарейна).

Среди других использованных векторов атак – социальная инженерия: пользователя просят загрузить и выполнить файл JavaUpdate.jar, чтобы установить плагин к браузеру Chrome. Мы полагаем, что существуют и другие эксплойты, но мы не смогли их извлечь с вредоносного сервера.

Только ли Windows-системам угрожает Careto? Какие версии Windows под ударом? Есть ли варианты зловреда для Mac OS X и Linux?

На сегодняшний день мы обнаружили троянцев, предназначенных для заражения компьютеров, работающих под Microsoft Windows и Mac OS X. Некоторые пути на сервере с эксплойтами содержат модули, по всей видимости разработанные для заражения Linux-систем, но версию бэкдора под Linux мы пока не обнаружили. Кроме того, анализ некоторых артефактов (а именно, журналов событий) на командном сервере позволяет предположить, что существуют также бэкдоры под Android и Apple iOS.

Какие есть основания предполагать, что существует мобильный компонент: iOS, Android или BlackBerry?

Мы полагаем, что существует версия бэкдора под iOS, но пока не смогли его обнаружить. Наше предположение основывается на анализе журнала отладки одного из командных серверов. В этом журнале записано, что одна из жертв в Аргентине использует User Agent строку «Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B329». Эта запись может говорить о том, что жертвой стал iPad, но без образца зловреда сложно говорить об этом со всей определенностью.

Кроме того, мы полагаем, что существует версия под Android. Это подозрение основывается на существовании уникального идентификатора версии «AND1.0.0.0», который был отправлен на командный сервер. Соединение с этим уникальным идентификатором производилось по 3G-сетям – это указывает на то, что это было мобильное устройство.

В чём отличие от любой другой APT-атаки?

«Маску» отличает сложный набор инструментов, использованных киберпреступниками: крайне сложная вредоносная программа, руткит, буткит, версии под Mac и Linux и, возможно, версии для Android iPad/iPhone (Apple iOS).

Кроме того, в «Маске» предусмотрена специальная атака против старых версий защитных продуктов «Лаборатории Касперского», что препятствует обнаружению ими присутствия «Маски» в системе. Таким образом «Маска» по сложности превосходит Duqu и на данный момент является одной из наиболее тщательно разработанных угроз APT-класса. Этот факт, наряду с некоторыми другими, заставляет нас предположить, что эта кампания обеспечивается поддержкой какого-то государства.

Как вы узнали об этой угрозе? Кто сообщил о ней?

Мы впервые столкнулись с Careto, когда заметили попытки использовать уязвимость в наших продуктах, чтобы сделать вредоносную программу невидимой в системе.

Это, естественно,  очень заинтересовало нас, и мы решили продолжить исследования. Другими словами, атакующая сторона привлекла наше внимание, пытаясь эксплуатировать продукты «Лаборатории Касперского».

Хотя эта уязвимость была обнаружена и закрыта в продуктах «Лаборатории Касперского» пять лет назад, существует вероятность, что у некоторых наших пользователей продукты до сих пор не обновлены. В таких случаях эксплойт может быть по-прежнему действенным, хотя это и не помешает нам удалить зловред и вылечить систему.

Существует ли несколько разных вариантов Careto? Есть ли серьезные различия между вариантами?

Careto – в высшей степени модульная система, поддерживающая плагины и файлы конфигураций, благодаря которым она может выполнять большое количество функций.

Различные варианты Careto имеют разные метки времени, которые ставятся при компиляции. Самые ранние относятся к 2007 г. Большая часть модулей была создана в 2012 году.

Командный сервер «Маски» все еще активен? Удалось ли провести в отношении какого-либо C&C процедуру sinkhole?

В настоящий момент все известные командные серверы «Маски» неактивны. Злоумышленники начали переводить их в офлайн в январе этого года. Нам удалось провести процедуру sinkhole над несколькими серверами, что позволило нам собрать статистику их работы.

Что конкретно было украдено с атакованных компьютеров?

Зловред собирал обширный список документов с инфицированных систем, а также ключи шифрования, файлы конфигурации VPN служб и RDP, ключи SSH. Также мы обнаружили несколько неизвестных расширений, которые, как мы предполагаем, могут являться инструментами шифрования правительственного или военного уровня.

Ниже приведен полный список собранных файлов из проанализированных нами конфигураций:

*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,
*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,*.PDF,
*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,*.SSH,*.SXC,*.SXW,*.VSD,
*.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX

Действительно ли эта атака обеспечивается поддержкой какого-то государства?

В «Маске» предусмотрена специальная атака против старых версий продуктов «Лаборатории Касперского», что препятствует обнаружению ими присутствия «Маски» в системе. Таким образом, «Маска» по сложности превосходит Duqu и является на данный момент одной из наиболее тщательно разработанных угроз APT-класса.

Действия злоумышленников во время атак, в том числе обеспечение мониторинга собственной инфраструктуры, сокрытие себя с помощью правил системы разграничения доступа, полное стирание содержимого журнальных файлов вместо обычного их удаления и т.п., говорят об их исключительном профессионализме. Такой уровень самозащиты нетипичен для обычных киберпреступников. Кроме того, в отличие от обычных киберпреступников, атакующие не стремились к получению быстрой финансовой выгоды.

Этот факт, наряду с некоторыми другими, заставляет нас предположить, что эта кампания обеспечивается поддержкой какого-то государства.

Кто стоит за всем этим?

Определение авторства – сложная задача. В интернете довольно сложно точно установить источник атаки, когда за ней стоит профессиональный злоумышленник.

Некоторые улики, например использование испанского языка, ненадежны, поскольку на испанском говорят во многих странах, в том числе в Латинской Америке и Соединенных Штатах (например, в Майами, где существует большое испаноговорящее сообщество).

Мы также должны учитывать возможность проведения атак «под чужим флагом», что не дает нам право считать кого-либо ответственным, пока не появятся очень веские доказательства.

Как долго злоумышленники проявляют активность?

Некоторые образцы «Маски» относятся к 2007 году. Кампания была активна до января 2014 года, но во время проведения расследования командные серверы были отключены.

Кампания шла как минимум 5 лет. Мы не можем быть уверены, что в будущем злоумышленники не попробуют ее возобновить.

Были ли использованы какие-нибудь новые/продвинутые технологии?

Windows-бэкдор невероятно сложный, атакующие использовали некоторые технологии, чтобы сделать свою атаку незаметнее, в том числе внедрение в системные библиотеки, а также попытки атак старых версий продуктов «Лаборатории Касперского» с целью предотвращения детектирования.

Кроме того, эксплойты направлены на многие системы, в том числе Mac OS X и Linux. Другая технология тоже весьма необычна: коммуникация между модулями шелл-кодов эксплойтов осуществляется посредством cookie- данных.

Все ли варианты этого вредоносного ПО детектирует «Лаборатория Касперского»?

Да. Наши продукты обнаруживают и удаляют все известные версии, используемые злоумышленниками. Они детектируются как

  • Trojan.Win32/Win64.Careto.*
  • Trojan.OSX.Careto

Существуют ли индикаторы взлома (Indicators of Compromise, IOCs), помогающие идентифицировать внедрение?

Да, все данные IOC включены в наш детальный технический отчет.


[Загрузить PDF (eng)]

Careto/»Маска» APT: часто задаваемые вопросы

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике