«Лабораторія Касперського» оголосила про розкриття глобальної мережі кібершпигунства «Маска», за якою стоять іспаномовні зловмисники. Виявлені сліди вказують на те, що операція проводиться як мінімум з 2007 року, повідомляють в компанії. Її виділяє складність арсеналу тих, що атакують. Останній має низку вкрай витончених шкідливих програм, розроблених для різних платформ, включаючи Mac OS X, Linux і, можливо, iOS.
Дії зловмисників в першу чергу були спрямовані на... державні організації, дипломатичні офіси і посольства, енергетичні і нафтогазові компанії, дослідницькі організації і політичних активістів. За підрахунками «Лабораторії Касперського» таргетованій атаці піддалися 380 жертв із 31 країни світу, включаючи Близький Схід, Європу, Африку й Америку (деталі — на графіці).
Головною метою тих, що атакують, був збір цінної інформації із заражених систем, включаючи різні документи, ключі шифрування, настройки VPN, які застосовуються для ідентифікації користувача на сервері SSH-ключи, а також файли, що використовуються програмами для забезпечення видаленого доступу до комп’ютера.
«Декілька причин змушують нас думати, що це може бути кампанією, забезпеченою державною підтримкою. Насамперед ми спостерігаємо вкрай високий рівень професіоналізму в діях групи, яка забезпечує моніторинг власної інфраструктури, приховує себе за допомогою правил системи розмежування доступу, начисто стирає вміст журнальних файлів замість звичайного їх видалення, а також за потребою припиняє будь-які дії. Такий рівень самозахисту нетиповий для кіберзлочинців. Усе це ставить цю кампанію за рівнем складності навіть вище Duqu — можна сказати, це найскладніша загроза такого класу на даний момент», — пояснив Костін Райю, керівник глобального дослідницького центру «Лабораторії Касперського».
Для жертв зараження може обернутися катастрофічними наслідками. Шкідливе ПЗ перехоплює всі комунікаційні канали і збирає найбільш важливу інформацію з комп’ютера користувача. Виявити зараження надзвичайно складно через доступні в руткиті механізми приховування і наявні додаткові модулі кібершпигунства. На додаток до вбудованих функцій, зловмисники могли закачувати на заражений комп’ютер модулі, що дозволяють виконати набір будь-яких шкідливих дій.
Ретельне дослідження засвідчило, що для авторів цих програм іспанська є рідною мовою — цього раніше не спостерігалося в атаках такого рівня. Аналіз виявив, що операція «Маска» активно здійснювалася протягом 5-ти років до січня 2014 року (а деякі зразки шкідливого ПЗ мали дату збору 2007 років) — під час проведення дослідження керуючі сервери зловмисників були згорнуті.
Зараження користувачів відбувалося через розсилку фішингових листів, що містять посилання на шкідливі ресурси. На цих сайтах розташовувався ряд експлойтів, які залежно від конфігурації системи відвідувача, використовували різні способи атаки його комп’ютера. У разі успішної спроби зараження, шкідливий сайт перенаправляв користувача на нешкідливий ресурс, який згадувався в листі, — це міг бути YouTube або новинний портал.
Важливо зазначити, що самі шкідливі сайти не заражали відвідувачів автоматично у разі прямого звернення за одним лише доменним іменем. Зловмисники зберігали експлойти в окремих каталогах, посилання на яких були присутні лише в листах, — проходячи саме ними, користувач піддавався атаці. Інколи на цих сайтах зловмисники використовували піддомени, щоб повні адреси мали вигляд правдоподібних. Ці піддомени імітували розділи популярних іспанських газет, а також кілька міжнародних — «The Guardain» і «Washington Post», повідомляють фахівці.
