16:41
11/2/2014

7 lat w ukryciu, prawie 400 ofiar z 31 krajów, a wśród nich agencje rządowe, ambasady, aktywiści i oczywiście firmy (głównie z sektora energetycznego). Są także ofiary z Polski. Malware, bootkit, rootkit w jednym. Infekuje Windowsa, Linuksa, Mac OS X oraz prawdopodobnie także Androida i iPhony/iPady. Wykrada pliki i klucze VPN, SSH oraz PGP. Nagrywa wciskane klawisze, ekran i rozmowy na Skype. Przechwytuje dane z telefonów Nokia. Jest bardziej skomplikowany niż powiązany ze Stuxnetem Duqu. Oto Maska.

Jak rozprzestrzenia się Maska?

Malware jest rozsyłany przy pomocy spear phishingu. Ofiary są zwabiane do wejścia na stronę internetową, która hostuje kilkanaście exploitów (na przeglądarki, ich wtyczki, np. CVE-2012-0773 lub CVE-2011-3544, Microsoft Office i systemy operacyjne), w tym korzystając z jednego z 0day’ów autorstwa VUPEN-a (Vupen zaprzecza), który miał zostać sprzedany do instytucji rządowej.

Maska i infekcja przez stronę WWW

Maska i infekcja przez stronę WWW

Spear phishing to ukierunkowany phishing. Atakujący wysyła wiadomość do konkretnej osoby, i nakłania ją do odwiedzenia strony, która ma wydać się ofierze atrakcyjna (odpowiada np. zainteresowaniom ofiary).

Niekótóre z ujawnionych domen:

     negocios.iprofesional.linkconf.net/
     www.internacional.elpais.linkconf.net/
     politica.elpais.linkconf.net/
     cultura.elpais.linkconf.net/
     economia.elpais.linkconf.net/
     test.linkconf.net/
     soc.linkconf.net/
     sociedad.elpais.linkconf.net/
     world.time.linkconf.net/
     internacional.elpais.linkconf.net/
     elpais.linkconf.net/
     www.elespectador.linkconf.net/
     blogs.independent.linkconf.net/
     www.elmundo.linkconf.net/
     www.guardian.linkconf.net/
     www.washingtonsblog.linkconf.net/
     www.publico.linkconf.net/

Payloady instalują na komputerze ofiary backdoora SGH (wraz z wtyczkami). Atakujący używają też kodu z projektu Metasploit (win7evlevate) oraz sbd, czyli klona …netcata. Szczegółową techniczną analizę kodu Maski znajdziecie w raporcie Kaspersky’ego.

Wśród ofiar znajdują się firmy prywatne i instytucje rządowe z kilkudziesięciu krajów:

Maska - rozkład ofiar

Maska – rozkład ofiar

Aby sprawdzić, czy zostaliście zainfekowani, poszukajcie na swoim dysku plików:


    Windows:
    shlink32.dll
    shlink64.dll
    objframe.dll
    dinner.jpg
    waiter.jpg
    chef.jpg.

    MAC OS X:
    /Applications/.DS_Store.app

Jak Maska infekuje Linuksa?

Wykorzystuje do tego wtyczkę dla Firefoksa: af_l_addon.xpi.

Wśród logów serwera C&C znaleziono też User-Agenta wskazującego na to, że wśród zainfekowanych maszyn znalazły się także hosty z systemem Mac OS X.

Maska: Mac OS X

Maska: Mac OS X

Co Maska wykrada?

Przechwytuje pliki o następujących rozszerzeniach:

*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,
*.GPG,*.HSE,*.KEY,*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,
*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,*.PDF,*.PGP,*.PKR,*.PPK,*.PSW,*.
PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,*.SSH,*.SXC,*.SXW,*.VSD,*.WAB,*.
WPD,*.WPS,*.WRD,*.XLS,*.XLSX,

Skąd nazwa “Maska”

W złośliwym oprogramowaniu znaleziono słowo “Careto”, co w wolnym tłumaczeniu z hiszpańskiego oznacza właśnie maskę. Inne odkryte w kodzie malware’u artefakty także wskazują na to, że twórcami są osoby władające językiem hiszpańskim — ale nie można wykluczyć hipotezy, że ktoś wrabia w autorstwo jeden z 21 krajów, w których używa się języka hiszpańskiego.

PS. Co ciekawe, autorzy na jednym z serwerów wprowadzili taką blacklistę:

Przeczytaj także:

30 komentarzy

Dodaj komentarz
  1. Jak sprawdzić czy to mam na Linuksie?

    • “Jak Maska infekuje Linuksa?
      Wykorzystuje do tego wtyczkę dla Firefoksa: af_l_addon.xpi.”

      Czy to wszystko, co wiadomo na ten temat?

    • On pyta jak sprawdzić CZY Pingwin jest zainfekowany, nie JAK jest infekowany…

    • Czyli jak nie mam tej wtyczki to mogę spać spokojnie?

  2. VUPEN oficjalnie zaprzeczył, żeby wspomniany 0day pochodził od nich. Jest jednak bardzo podobny. Ich szef rzucił teorię, że być może napastnicy skonstruowali własny odpowiednik tego kodu na podstawie analizy poprawki, którą Adobe wypuściło na 0day Vupena.
    źródła: http://www.wired.com/threatlevel/2014/02/mask/?cid=18362014
    https://twitter.com/cBekrar/status/432949868261150720

    • Vupen też mógł być zarażony :D

  3. Interesujące są rozszerzenia, a dokładniej brak w nich zwykłego .txt.

    Na ile możliwe byłoby (zakładając, że atakujący też na to wpadli) zrobienie honeypota (w ramach strategii defensywnej potencjalnych celów, wiedząc tylko, że tego typu wirusy istnieją, ale nie znając zawczasu konkretnego atakującego), który “dawałby sobie wykraść” pliki w powyżej podanych formatach, ale z eksploitami na ich czytniki, które miałyby za zadanie umieścić backdoora na komputerze atakującego?
    Czy kontratak wg. takiego scenariusza miał już kiedyś miejsce?

  4. Co to za mistyczny rootkito-bootkit który korzysta z kodu ms, jakiegoś backdora i można wykryć za pomocą wyszukań plików
    Teraz każde faile aversów czyli 7 letnia nie wykrywalność będą ogłaszane
    jako “malware nowej genracji”, cyber-super-tajna broń”, “zagrożenie dla ludzkości”.
    Dobra z racji historycznych musiałem im trochę pojechać
    Teraz przeczytam całość, ale i tak dziwny to “rootkit”.

  5. Napisalibyście o BadBIOS… IMO ciekawsza sprawa.

    • STux, tutaj przychodzą poważni ludzie, a BadBIOS to jest zwierzę mityczne, jak Wielka Stopa i Chupacabra. Albo Stabilna Vista.

    • Inaczej byś śpiewał gdybyś musiał usuwać to dziadostwo z komputerów kumpla. Musiałem wyciągać zasilacze tak żeby nie przeskoczył ponownie i flashować biosa z dyskietki w napędzie usb (bo kompy są nowe). Potem oczywiście hdd do wymiany, znając naturę tego badziewia no i jakoś na razie działają, choć pewnie to wróci znając to gówno.

    • Jeszcze to: http://blog.erratasec.com/2013/10/badbios-features-explained.html

    • Mam nadzieję, że wymieniając hdd nie położyłeś ich zbyt blisko siebie, bo wtedy następuje transmisja z wykorzystaniem pola magnetycznego HDD. No chyba, że dyski były SD, to wtedy jesteś bezpieczny.

    • NIE_NSA, nie ma co się wyśmiewać, jest to poważna sprawa. Wszystkie, powtarzam, WSZYSTKIE, rzeczy który badBIOS robi są możliwe do przeprowadzenia, co do komunikacji przy użyciu ultradźwięków, to udowodnił to instytut Fraunhofera (twórcy MP3, więc dość poważna instytucja), a wirusy chowające się w MBR i BIOS-ie to są najstarsze wirusy świata. Wystarczy to wszystko połączyć razem z wirusem USB (tak według Dragosa nastąpiła pierwotna infekcja, inne wektory ataku to m.in. sieć – rozmnażanie jak robak sieciowy) i mamy badBIOS. A fakt że musiałem to badziewie koledze usuwać (niedawno był w Rumunii więc może mu ktoś zakażonego USB podrzucił jako że “pacjent 0” jest tam zlokalizowany więc jest możliwe że twórcy wirusa również) również to potwierdza. Tak jak mówiłem, pewnie wróci, ale jak na razie kolega się nie skarży.

  6. aż ciekawe jeszcze ile takich ustrojstw jest niewykrytych i działają szmat czasu..

  7. Wychodzi na to ,że najbardziej niebezpieczną dla społeczeństwa grupą cyberprzestępców są … służby specjalne poszczególnych krajów działające na zlecenie rządów ,które reprezentują. :D (to nic innego jak zalegalizowana mafia).
    Wyżej wymienione służby dysponują środkami finansowymi ,które pozwalają globalnie podejść do “tematu” , na co dzień prawem oraz konstytucją “podcierają sobie tyłek” , od czasu do czasu robią pokazówkę rzucając na “pożarcie” jakiegoś mało znaczącego hakera lub grupę hakerów robiąc z nich kozłów ofiarnych :)

  8. nie wykrada plików .tex i .dvi
    jak to dobrze składać tekst w normalnych formatach :D

  9. Z tego względu najlepszym systemem dla osób przechowujących wrażliwe dane jest Qubes OS. Tylko on jest w stanie zabezpieczyć (w wielu przypadkach) przed podobnymi atakami.

  10. mask 7 lat – 400 ofiar
    flashback rok [?] – 700.000 ofiar

    Czy ten mask straszny… bardziej niż tdl4 ?

    • Mała ilość ostrożnie wybranych celów pozwala uniknąć wykrycia. Gdyby zamiast spear-phishingu użyli jakiejś bardziej masowej metody ilość zarażonych komputerów byłaby gigantyczna. Przeczytaj raport jeśli jeszcze tego nie zrobiłeś/aś, to wygląda na kawał naprawdę dobrej roboty.

  11. Maska, Hiszpania, skojarzyło mi się z Hocicio – a fatal desire – http://youtu.be/I2nLs8lm9Ck
    miłego dniaaaaaa:)

  12. Chyba warto zastosować taką blackliste IP jak oni ;) Firmy wirusowe czasem nie skanują sieci pod kontem zarażonych hostów ? Pewnie nikt z was nie lubi skanów :D

  13. Jak wszedłem na jedną z stron z ciekawości to oznacza, że jestem zarażony?

    Jak poszukać tych plików? Po prodtu w oknie foderu w pasku wyszukiwania?

  14. “So far, we observed Trojans for Microsoft Windows and Mac OS X. Some of the exploit server paths contain modules that appear to have been designed to infect Linux computers, but we have not yet located the Linux backdoor.”
    http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions
    Ponoć rozprzestrzenia się to od 2007 roku. Jak widać straszne zagrożenie dla Linuksa ;)

  15. Co musi być w pliku .DS_Store.app na OS X żeby to był zainfekowany plik??

  16. ma ktoś te pliki jpg? chętnie bym obejrzał

  17. Wracam na chwilę do tematu badBIOS-u – podobno komputery komunikowały się na wysokich częstotliwościach akustycznych, niesłyszalnych dla ludzi, korzystając z wbudowanego w komputer mikrofonu i głośniczka. A czy ktoś zastanowił się nad pasmem przenoszenia tychże mikrofonów i głośniczków? Głośniczki z reguły padają powyżej 15 khz, natomiast mikrofony nie słyszą nic powyżej (średnio) 8 – 10 khz, To prawie jak ucho 100 letniego starca słuchającego w młodości, przez 12 godzin na dobę rocka o natężeniu 100 db. A poza tym czy wszystkie komputery stacjonarne mają wbudowane mikrofony? Nawet głośniczków jest coraz mniej. Wydaje mi się że oprócz tego pozostaje jeszcze kwestia szybkości transmisji (gimby nie pamiętają Radiostacji Harcerskiej emitującej programy na Spectrum, Comodora, czy Atari, które trzeba było nagrać na kasety magnetofonowe).

Odpowiadasz na komentarz Lu

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: