Kaspersky Lab onthult "The Mask": een van de meest geavanceerde wereldwijde cyberspionage-activiteiten ooit, vanwege complexiteit van door aanvallers gebruikte toolset

Nieuwe dreigingsfactor: Spaanstalige aanvallers richten zich via een cross-platform malware-toolkit op overheidsinstellingen, energie-, olie- & gasbedrijven en andere spraakmakende slachtoffersrnrnUtrecht, 10 februari 2014 -“ Kaspersky Labs security research team kondigt vandaag de ontdekking aan van "The Mask" (alias Careto). Deze geavanceerde Spaanstalige dreigingsfactor is al minstens sinds 2007 betrokken bij wereldwijde cyberspionage-activiteiten. Wat The Mask zo speciaal maakt, is de complexiteit van de door de aanvallers gebruikte toolset. Deze omvat uiterst geavanceerde malware, een rootkit, een bootkit, Mac OS X- en Linux-versies en mogelijk versies voor Android en iOS (iPad/iPhone). rnrnDe voornaamste doelwitten zijn overheidsinstellingen, diplomatieke kantoren en ambassades, energie-, olie- en gasbedrijven, onderzoeksinstellingen en activisten. Slachtoffers van deze gerichte aanval zijn aangetroffen in 31 landen over de hele wereld - van het Midden-Oosten en Europa tot Afrika en Noord/Zuid-Amerika. rnrnHet belangrijkste doel van de aanvallers is het verzamelen van gevoelige gegevens op geĂŻnfecteerde systemen. Hiertoe behoren Office-documenten, maar ook diverse encryptiesleutels, VPN-configuraties, SSH-sleutels (bedoeld om een gebruiker te identificeren op een SSH-server) en RDP-bestanden (door de Remote Desktop Client gebruikt om automatisch een verbinding te openen naar de gereserveerde computer).rnrn"We hebben verschillende redenen om aan te nemen dat het hier om een door een staat gesponsorde campagne gaat. Allereerst valt een zeer hoge mate van professionalisme op in de operationele procedures van de groep achter deze aanval. Hierbij moet worden gedacht aan infrastructuurbeheer, het stilleggen van de operatie, het gebruik van toegangsregels om nieuwsgierige blikken te vermijden en het gebruik van wiping (definitief wissen) in plaats van het slechts verwijderen van logbestanden. De combinatie van dit alles maakt deze APT verfijnder dan Duqu en een van de meest geavanceerde dreigingen van dit moment", aldus Costin Raiu, directeur van het Global Research and Analysis Team (GReAT) bij Kaspersky Lab. "Operationele beveiliging van een dergelijk niveau is ongebruikelijk bij cybercriminele groeperingen." rnrnOnderzoekers van Kaspersky Lab werden zich vorig jaar voor het eerst bewust van Careto, toen ze stuitten op pogingen om een vijf jaar eerder gerepareerde kwetsbaarheid in de producten van het bedrijf te exploiteren. Dankzij deze exploit was de malware in staat om detectie te voorkomen. Natuurlijk wekte deze situatie hun interesse, waarna het onderzoek werd gestart.rnrnVoor de slachtoffers kan een infectie met Careto rampzalig zijn. Careto onderschept alle communicatiekanalen en verzamelt de meest vitale informatie op de machine van het slachtoffer. Detectie is uiterst lastig vanwege de stealth rootkit-mogelijkheden, ingebouwde functionaliteiten en additionele cyberspionage-modules. rnrnrnBelangrijkste bevindingen:rn-˘ De moedertaal van de auteurs lijkt Spaans te zijn, wat zeer zelden wordt waargenomen bij APT-aanvallen.rn-˘ De campagne was voor januari 2014 minstens vijf jaar actief (sommige Careto-samples werden in 2007 samengesteld). In de loop van Kaspersky Labs onderzoek werden de command-and-control (C&C) servers stilgelegd.rn-˘ We telden meer dan 380 unieke slachtoffers onder ruim duizend IP's. Infecties zijn waargenomen in: Algerije, Argentinië, België, Bolivia, Brazilië, China, Colombia, Costa Rica, Cuba, Egypte, Frankrijk, Duitsland, Gibraltar, Guatemala, Iran, Irak, Libië, Maleisië, Mexico, Marokko, Noorwegen, Pakistan, Polen, Zuid-Afrika, Spanje, Zwitserland, Tunesië, Turkije, het Verenigd Koninkrijk, de Verenigde Staten en Venezuela.rn-˘ De complexiteit en universaliteit van de door de aanvallers gebruikte toolset maakt deze cyberspionage-operatie heel bijzonder. Het omvat het gebruik van exploits van hoog niveau, uiterst verfijnde malware, een rootkit, een bootkit, Mac OS X- en Linux-versies en mogelijk versies voor Android en iPad/iPhone (iOS). The Mask maakt ook gebruik van een aangepaste aanval tegen Kaspersky Lab-producten. rn-˘ Bij de aanvalsvectoren werd in elk geval gebruik gemaakt van één Adobe Flash Player exploit (CVE-2012-0773). Deze werd ontwikkeld voor Flash Player-versies voorafgaand aan 10.3 en 11.2. Deze exploit werd oorspronkelijk ontdekt door VUPEN en werd in 2012 gebruikt om te ontsnappen uit de Google Chrome sandbox en de CanSecWest Pwn2Own wedstrijd te winnen.rnrnInfectiemethoden & FunctionaliteitrnVolgens Kaspersky Labs analyserapport leunt de The Mask-campagne op spear-phishing e-mails met links naar een kwaadaardige website. Deze kwaadaardige website bevat een aantal exploits die zijn ontworpen om bezoekers te infecteren, afhankelijk van hun systeemconfiguratie. Na succesvolle infectie leidt de kwaadaardige website de gebruiker om naar de goedaardige website waarnaar in de e-mail werd verwezen, zoals een YouTube-filmpje of een nieuwsportaal.rnrnHet is belangrijk op te merken dat de websites met exploits bezoekers niet automatisch infecteren. In plaats daarvan hosten de aanvallers de exploits in specifieke mappen op de website. Hier wordt nergens rechtstreeks naar verwezen, behalve in kwaadwillige e-mails. Soms maken de aanvallers gebruik van subdomeinen op de websites met exploits, om ze meer authentiek te laten lijken. Deze subdomeinen bootsen delen van de belangrijkste Spaanse kranten na, plus enkele internationale kranten zoals "The Guardian" en de "Washington Post". rnrnDe malware onderschept alle communicatiekanalen en verzamelt de meest vitale informatie op het geĂŻnfecteerde systeem. Detectie is uiterst lastig vanwege de stealth rootkit-mogelijkheden. Careto is een zeer modulair systeem; het ondersteunt plug-ins en configuratiebestanden, die het mogelijk maken een groot aantal functies uit te voeren. Naast de ingebouwde functionaliteit kunnen de Careto-operators extra modules uploaden die elke gewenste kwaadaardige taak kunnen uitvoeren. rnrnKaspersky Labs producten detecteren en verwijderen alle bekende versies van The Mask/Careto-malware.rnrnKijk op Securelist.com voor het volledige rapport, inclusief een gedetailleerde beschrijving van de kwaadwillige tools en statistieken en indicatoren van getroffen organisaties:rnhttp://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdfrnrnKlik hier voor een complete FAQ:rnhttp://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions rnrnOver Kaspersky Lab rnKaspersky Lab is 's werelds grootste niet-beursgenoteerde leverancier van endpoint beveiligingsoplossingen. Het bedrijf behoort wereldwijd tot de top vier leveranciers van beveiligingsoplossingen voor eindgebruikers.* In de meer dan zestien jaar van zijn bestaan is Kaspersky Lab altijd een innovator geweest op het gebied van IT-beveiliging en biedt het effectieve digitale beveiligingsoplossingen voor de enterprisemarkt, mkb-bedrijven en consumenten. Kaspersky Lab, met zijn holding geregistreerd in het Verenigd Koninkrijk, is thans mondiaal actief in bijna 200 landen en gebieden en biedt wereldwijd bescherming aan ruim 300 miljoen gebruikers. Meer informatie op www.kaspersky.com.rnrn* Het bedrijf stond als vierde genoteerd in de IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012. Deze klassering werd gepubliceerd in het IDC-rapport "Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, augustus 2013). Het rapport classificeerde softwareleveranciers op basis van inkomsten uit verkopen van endpoint beveiligingsoplossingen in 2012.rnrnVoor meer informatie zie www.kaspersky.com/nl of www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.rnrn© 2012 Kaspersky Lab. De informatie in dit document is onderhevig aan verandering zonder voorafgaande kennisgeving. De enige garanties voor producten van Kaspersky Lab en services is vastgelegd in de garantieverklaringen bij de betreffende producten en services. Niets in dit document kan worden opgevat als rechtgevend op extra garantie. Kaspersky Lab is niet aansprakelijk voor technische of redactionele fouten of weglatingen in deze publicatie.rn