«Лаборатория Касперского» раскрыла глобальную кампанию кибершпионажа

«Лаборатория Касперского» раскрыла сеть глобального кибершпионажа «Маска», сообщается на сайте антивирусной компании.

За этой сетью, по словам специалистов, скрываются испаноговорящие злоумышленники (испанский оказался родным языком для авторов этих программ), осуществляющие свою деятельность как минимум с 2007 года. При этом отмечается их арсенал, в который входит целый ряд изощренных вредоносных программ, созданных для различных систем, включая Linux, Mac OS X и, возможно, iOS.

В первую очередь злоумышленников интересовали государственные организации, а также дипломатические офисы и посольства, нефтегазовые и энергетические компании, исследовательские организации и политические активисты. Жертвами таргетированной атаки, по подсчетам специалистов компании, стали 380 пользователей из 31 страны мира.

Главной целью атакующих являлся сбор ценной информации из зараженных систем: это документы, ключи шифрования, SSH-ключи, файлы, используемые для удаленного доступа к компьютеру, и многое другое.

Изображение с сайта kaspersky.ru

По словам руководителя глобального исследовательского центра «Лаборатории Касперского» Костина Райю, имеется несколько причин, указывающих на то, что все это может быть кампанией, обеспеченной государственной поддержкой. Прежде всего наблюдается высокий уровень профессионализма группы, обеспечивающей мониторинг собственной инфраструктуры, а также скрывающей себя с помощью правил системы разграничения доступа, стирающей начисто содержимое журнальных файлов (вместо их обычного удаления), а также прекращающей при необходимости всякие действия. Подобный уровень самозащиты нетипичен для кибермошенников. Все это ставит данную кампанию по уровню сложности даже выше Duqu; можно сказать, что это самая сложная угроза такого класса на сегодняшний день.

Вредоносное ПО перехватывает все коммуникационные каналы и собирает наиболее важную информацию с компьютера пользователя. При этом выявить заражения чрезвычайно сложно ввиду доступных в рутките механизмов скрытия и дополнительных модулей кибершпионажа. В дополнение к встроенным функциям злоумышленники также могли закачивать на зараженный ПК модули, позволяющие выполнить набор любых действий, в том числе и вредоносных.

Как показало исследование, операция «Маска» велась до января 2014 года. Некоторые образцы вредоносного программного обеспечения имели дату сборки 2007 года (во время проведения исследования управляющие сервера злоумышленников были свернуты).

Заражение пользователей происходило через рассылку фишинговых писем, содержащих ссылки на вредоносные ресурсы, где располагались эксплойты, которые, в зависимости от конфигурации системы посетителя, применяли различные способы атаки его компьютера. Если атака оказывалась успешной, то вредоносный сайт перенаправлял пользователя на безвредный ресурс, который упоминался в письме. Это мог быть, например, YouTube или какой-либо новостной портал.

Отмечается, что сами вредоносные сайты не заражали посетителей автоматически в случае прямого обращения по одному только доменному имени. Злоумышленники хранили эксплойты в отдельных каталогах, ссылки на которые присутствовали исключительно в письмах.