Kaspersky Lab a descoperit „The Mask”, un nou virus care este cel mai avansat si cel mai complet set de instrumente de spionaj cibernetic, la nivel global.
Atacatorii vorbesc limba spaniola si au atacat pana in acest moment institutii guvernamentale, companii din domeniul energiei, petrolului si gazelor, folosindu-se de un set de instrumente malware cross-platform.
Potrivit echipei Kaspersky Lab, care l-a descoperit, The Mask sau Careto, in spaniola, si-a inceput activitatea de spionaj cibernetic in anul 2007. Setul de instrumente folosite pentru infectarea calculatoarelor-victima cuprinde: un malware extrem de sofisticat, un rootkit, un bootkit, versiuni pentru Mac OS, Linux si probabil pentru Android si iOS.
Tintele vizate includ institutii guvernamentale, birouri diplomatice si ambasade, companii din domeniile: energie, petrol, gaze, organizatii de cercetare si activisti. Pana acum au fost atacate entitati din 31 de tari din Orientul Mijlociu, Europa, Africa si cele doua Americi.
Atacatorii colecteaza informatii confidentiale din sistemele infectate: atat documente oficiale, cat si chei de criptare, configuratii VPN, chei SSH (care identifica atat utilizatori cat si un server SSH) si fisiere RDP (utilizate de Remote Desktop Client pentru a deschide o conexiune automata cu calculatorul rezervat).
Virusul a fost descoperit de cei de la Kaspersky Lab anul trecut, cand s-au observat mai multe incercari de a exploata o vulnerabilitate a produselor companiei care fusese reparata in urma cu 5 ani. Exploitul respectiv trebuia sa protejeze malware-ul de posibila detectare, dar aceasta situatie a fost cea care a dus la demararea investigatiei.
Careto intercepteaza toate canalele de comunicare si aduna informatiile importante din aparatul folosit de victima.
Directorul Global Research and Analysis Team(GReAT)din cadrul Kaspersky Lab, Costin Raiu afirma referitor la „The Mask”: „Exista o serie de motive pentru care credem ca aceasta ar putea fi o campanie sponsorizata de catre un stat. In primul rand, am observat un grad foarte inalt de profesionalism in ceea ce priveste procedurile operationale ale grupului din spatele acestui atac. De la administrarea infrastructurii, inchiderea operatiunii, evitarea accesului persoanelor neautorizate prin intermediul regulilor de acces si utilizarea stergerii definitive (wiping) in locul stergerii partiale (deletion) a fisierelor de log. Aceasta combinatie face ca acest atacator ss fie mai sofisticat chiar decat Duqu, fiind una dintre cele mai avansate amenintari in acest moment. Acest nivel de sofisticare nu este normal pentru guparile de infractori cibernetici”.