卡巴斯基實驗室(Kaspersky Lab)表示,它能夠揭開所謂“面具”的間諜活動背後的奧秘。
間諜活動自2007年以來一直在進行,並不歸因於中國或俄羅斯,而是據稱是由西班牙語的作者創造的。 “面具”是西班牙語careto的翻譯,這是研究人員對他們暴露的一些惡意軟件模塊發現的這個術語。
面具或Careto是一種先進的持久威脅(APT),其針對約380名獨特的受害者,截至報告時,遍布31個國家。受害者名單包括政府,使館,私人公司,股票公司,能源公司甚至活動家的機構。
“使'Mask'與眾不同的是攻擊者使用的工具集的複雜性。這包括極其複雜的惡意軟件,一個rootkit,bootkit,32和64位Windows版本,Mac OS X和Linux版本以及Android和Android和iPad/iPhone(Apple Ios)的版本,報告[PDF] Kaspersky Lab撰寫。
“當活躍在受害者係統中時,面具可以攔截網絡流量,擊鍵,Skype對話,PGP鍵,分析WiFi流量,從諾基亞設備中獲取所有信息,屏幕捕獲和監視所有文件操作。惡意軟件收集了來自受感染的系統的大量文檔,包括Entryptight鍵,VPN配置,以及vpn files和ssh keys note。能夠識別並可能與定制的軍事/政府級加密工具有關。”
卡巴斯基實驗室的調查是由“面具”的創建者試圖利用其某些產品的嘗試引起的。它沒有確定啟動網絡間諜計劃的可疑政府,但表明,不尋常的是不來自美國,俄羅斯,俄羅斯,以色列和中國等常見的嫌疑犯,這些嫌疑人啟動了臭名昭著的惡意軟件,例如Stuxnet,Duqu,Duqu,Icefog,Gauss,Gauss和Red 10月。
經過調查,研究人員發現它在摩洛哥和巴西,法國,西班牙和英國等其他國家中最為活躍。
肇事者使用了兩個軟件後門包,即Careto和SGH。這些軟件包用於其他相關公用事業。後門包還使用了屬於保加利亞公司Tecsystem Ltd.的有效證書,以避免檢測。
網絡間諜計劃使用了嵌入在網絡釣魚電子郵件中的惡意鏈接,導致虛假的新聞網站描繪了“衛報”,“時間”,“華盛頓郵報”,以及許多西班牙的日報。
與作者服務器通信時,Careto還使用了雙層加密。即使有物理擁有服務器的人也無法讀取加密數據。
研究人員還提到,“面具”可以利用法國公司Vupen發現的Flash Player利用,該公司可以通過Google Chrome的沙盒滑落。但是,Vupen首席研究員兼首席執行官Chaouki Bekrar立即駁回了謠言。
“漏洞不是我們的,”貝克拉爾推文。
研究人員將“面具”視為迄今為止最複雜的選擇之一。對於Careto而言,我們在此攻擊背後的集團的操作程序中觀察到了非常高的專業精神,包括監視其基礎設施,操作的關閉,避免通過訪問規則來避免奇怪的眼睛,使用擦拭而不是對日誌文件的刪除。
