Immedia / Kaspersky Lab scopre "The Mask": fino ad oggi e' una delle operazioni piu' avanzate di cyber-spionaggio a livello mondiale grazie alla complessita' del tool set utilizzato.
Immedia / Kaspersky Lab scopre "The Mask": fino ad oggi e' una delle operazioni piu' avanzate di cyber-spionaggio a livello mondiale grazie alla complessita' del tool set utilizzato.
Kaspersky

Nuovi attori: i criminali informatici che parlano spagnolo stanno colpendo istituzioni governative, societ in ambito energetico, compagnie petrolifere e del gas e altre vittime ad alto profilo attraverso malware toolkit di tipo cross-platform. Roma, 11 febbraio 2014 - Oggi il team di ricerca Kaspersky Lab ha annunciato la scoperta di “The Mask” (aka Careto), minaccia avanzata in lingua spagnola che stata coinvolta in operazioni di cyber-spionaggio a livello mondiale almeno dal 2007. Quello che rende The Mask speciale la complessit del set di strumenti utilizzato dai cyber criminali. Questo comprende un malware estremamente sofisticato, un rootkit, un bootkit, le versioni Mac OS X e Linux e probabilmente anche le versioni per Android ed iOS (iPad/iPhone). Gli obiettivi principali sono enti governativi, uffici diplomatici e ambasciate, societ in ambito energetico, compagnie petrolifere e del gas, societ di ricerca e attivisti. Si contano le vittime di questi attacchi mirati in 31 Paesi – da Medio Oriente ed Europa fino ad Africa e America. Ottenere dati sensibili dai sistemi infettati lo scopo dei criminali informatici. Questi dati comprendono documenti office ma anche chiavi di crittografia, configurazioni VPN, chiavi SSH (che servono come mezzi di identificazione di un utente su un server SSH) e file RDP (utilizzati da Client Remote Desktop per aprire automaticamente una connessione su un computer riservato). “Diverse ragioni ci portano a credere che questa possa essere una campagna sponsorizzata da Stati-Nazioni. Prima di tutto, abbiamo riscontrato un livello di professionalit molto alto nelle procedure operative del gruppo che sta dietro all’attacco. Dalla gestione dell’infrastruttura fino all’arresto delle operazioni, evitando di attirare l’attenzione attraverso le regole di accesso e utilizzando wiping al posto della cancellazione dei file di log. Questa combinazione rende questo APT ancora pi sofisticato rispetto a Duqu, diventando una delle minacce pi avanzate in questo momento”, ha dichiarato Costin Raiu, Director of the Global Research and Analysis Team (GReAT), Kaspersky Lab. “Questo livello di sicurezza operativa non normale per un gruppo di cyber-criminali”.

I ricercatori Kaspersky Lab hanno scoperto Careto lo scorso anno quando stavano monitorando i tentativi di sfruttare una vulnerabilit dei prodotti della societ, che era stata risolta cinque anni fa. Lo sfruttamento permette al malware di evitare di essere rilevato. Naturalmente, questa situazione ha generato interesse e cos stata avviata l’indagine.

Un’infezione Careto pu essere un disastro per le vittime. Careto intercetta tutti i canali di comunicazione e raccoglie le informazioni fondamentali provenienti dalla macchina della vittima. La rilevazione estremamente difficile a causa delle funzionalit nascoste rootkit, funzionalit integrate e moduli aggiuntivi di cyber-spionaggio. I risultati principali: - Gli autori sembrano essere di lingua ispanica, che raramente stata rilevata negli attacchi APT. - La campagna stata attiva per almeno cinque anni fino a Gennaio 2014 (alcuni esempi di Careto sono stati raccolti nel 2007). Durante il corso delle indagini di Kaspersky Lab, i server command-and-control (C&C) erano stati spenti. - Abbiamo contato oltre 380 vittime uniche tra 1000+IP. Le infezioni sono state rilevate in: Algeria, Argentina, Belgio, Bolivia, Brasile, Cina, Colombia, Costa Rica, Cuba, Egitto, Francia, Germania, Gibilterra, Guatemala, Iran, Iraq, Libia, Malesia, Messico, Marocco, Norvegia, Pakistan, Polonia, Sud Africa, Spagna, Svizzera, Tunisia, Turchia, Regno Unito, Stati Uniti e Venezuela. - La complessit e l’universalit del toolset usato rende questa operazioni di cyber spionaggio unica. Questo comprende far leva su exploit high-end, una porzione di malware estremamente sofisticata, un rootkit, un bootkit, le versioni Mac OS X e Linux e probabilmente anche le versioni per Android ed iOS (iPad/iPhone). Inoltre, The Mask ha usato un attacco personalizzato contro i prodotti di Kaspersky Lab. - Tra i vettori di attacco stato utilizzato almeno un exploit Adobe Flash Player (CVE-2012-0773). E’ stato progettato per le versioni di Flash Player precendenti a 10.3 e 11.2. Questo exploit stato originariamente scoperto da VUPEN ed stato usato nel 2012 per sfuggire al sandbox di Google Chrome per vincere il contest CanSecWest Pwn2Own. Metodi di infezione e funzionalit Secondo il report di analisi di Kaspersky Lab, la campagna The Mask si basa su email di spear-phishing con link a siti Web nocivi. Il sito Web malevolo contiene un numero di exploit progettati per colpire il visitatore in base alla configurazione del sistema. In seguito al successo dell’infezione, il sito malevolo reindirizza l’utente al sito Web ‘non nocivo’ indicato nell’email, che pu essere un filmato su YouTube o un portale di informazioni. E’ importante notare che i siti Web sfruttati non infettano automaticamente i visitatori, i criminali informatici ospitano gli exploit in cartelle specifiche sul sito, che non hanno nessun riferimento diretto ad eccezione delle email nocive. A volte, i criminali informatici usano dei sotto-domini nei siti di exploit per farli sembrare ancora pi realistici. Questi sottodomini simulano delle sotto-sezioni dei principali quotidiani spagnoli e internazionali, come “The Guardian” e Washington Post". Il malware intercetta tutti i canali di comunicazione e raccoglie le informazioni fondamentali dai sistemi colpiti. La rilevazione estremamente difficile a causa delle funzionalit nascoste rootkit. Careto un sistema altamente modulare; supporta plugin e file di configurazione che gli permettono di svolgere numerose funzioni. Oltre alle funzionalit integrate, gli operatori Careto possono caricare moduli aggiuntivi che possono fungere da task nociva. I prodotti Kaspersky Lab individuano e rimuovono tutte le versioni conosciute del malware The Mask/Careto. Per leggere il report completo con la descrizione dettagliata degli strumenti nocivi e delle statistiche, insieme agli indicatori di compromissione visita Securelist. Le FAQ complete sono disponibili qui Informazioni su Kaspersky Lab Kaspersky Lab e' la pi grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli endpoint. L'azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 16 anni di storia, Kaspersky Lab e' stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza digitale per la protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding e' registrata in Gran Bretagna, opera in 200 paesi e territori e protegge oltre 300 milioni di clienti in tutto il mondo. Per ulteriori informazioni: www.kaspersky.it. *L'azienda si e' posizionata al quarto posto nel Worldwide Endpoint Security Revenue by Vendor, 2012 di IDC. La classifica e' stata pubblicata nel report IDC Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Il report ha classificato i vendor software in base al fatturato da soluzioni di sicurezza endpoint nel 2012. Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/ Seguici su: Twitter: https://twitter.com/KasperskyLabIT Facebook: http://www.facebook.com/kasperskylabitalia Google Plus: https://plus.google.com/u/0/b/110369116315123340458/110369116315123340458/posts Contatto di redazione: Noesis Cristina Barelli e Valeria Valenti Cristina.barelli@noesis.net valeria.valenti@noesis.net 02/8310511 Milano, Via Savona, 19/A KasperskyLab Italia Alessandra Venneri Alessandra.venneri@kaspersky.it 06 58891031 - 3351980618 Roma, Via F. Benaglia 13

"Immediapress e' un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall'ente che lo emette. L'Adnkronos ed Immediapress non sono responsabili per i contenuti dei comunicati trasmessi".

(Red/Opr/Adnkronos)