セキュリティウォッチ 今まで見たことのないマスクハック

今まで見たことのないマスクハック

ビデオ: 【真・if戦記】プーシャヤンスタ戦【ボス戦】 (十一月 2024)

ビデオ: 【真・if戦記】プーシャヤンスタ戦【ボス戦】 (十一月 2024)
Anonim

カスペルスキーの研究者は、これまでに見られた最も洗練されたツールを使用して、世界中の政府、エネルギー、石油、およびガス組織に対するサイバースパイ活動を発見しました。 同社によると、この作戦には国民国家攻撃であるというすべての特徴があったという。

Kaspersky Labのグローバル調査分析チームのディレクターであるCostin Raiuと彼のチームは、月曜日のKaspersky Lab Security Analysts Summitで「The Mask」の背後にある詳細を明らかにし、操作のために設計されたルートキット、ブートキット、マルウェアを説明しましたWindows、Mac OS X、およびLinux。 使用されたマルウェアのAndroidおよびiOSバージョンさえあるかもしれない、とチームは言った。 すべての指標から、The Maskはエリート国家国家キャンペーンであり、その構造はStuxnetに関連するFlameキャンペーンよりもさらに洗練されています。

「これは私が見た中で最高のものの1つです。以前は最高のAPTグループはFlameの背後にありましたが、インフラストラクチャの管理方法と脅威への対応方法、反応とプロフェッショナリズムの速度のために私の意見が変わりました」とライウは言った。 マスクは「炎やこれまで見てきたものを超えて」行きます。

この操作は約5年間検出されず、政府機関、外交官事務所、大使館、研究機関、および活動家に属する1, 000を超える標的IPアドレスのうち380人の被害者に影響を与えました。 影響を受ける国のリストは長く、アルジェリア、アルゼンチン、ベルギー、ボリビア、ブラジル、中国、コロンビア、コスタリカ、キューバ、エジプト、フランス、ドイツ、ジブラルタル、グアテマラ、イラン、イラク、リビア、マレーシア、メキシコ、モロッコ、ノルウェー、パキスタン、ポーランド、南アフリカ、スペイン、スイス、チュニジア、トルコ、英国、米国、ベネズエラ。

マスクの開梱

Caretoという名前のマスクは、ドキュメントと暗号化キー、仮想プライベートネットワーク(VPN)の構成情報、Secure Shell(SSH)のキー、およびリモートデスクトップクライアントのファイルを盗みます。 また、ログからアクティビティのトレースを消去します。 カスペルスキーは、マルウェアがモジュール式のアーキテクチャを備えており、プラグインと構成ファイルをサポートしていると述べました。 新しいモジュールで更新することもできます。 マルウェアは、カスペルスキーのセキュリティソフトウェアの古いバージョンを悪用しようとしました。

「コンポーネントの1つを悪用して隠そうとしています」とライウ氏は言います。

攻撃は、複数のエクスプロイトをホストする悪意のあるURLへのリンクを含むスピアフィッシングメールから始まり、最終的にメッセージ本文で参照される正当なサイトにユーザーを配信します。 この時点で、攻撃者は感染したマシンの通信を制御できます。

攻撃者は、攻撃者がGoogle ChromeのサンドボックスをバイパスできるようにするAdobe Flash Playerの脆弱性を標的とするエクスプロイトを使用しました。 この脆弱性は、2012年にフランスの脆弱性ブローカーVUPENによってCanSecWestで開催されたPwn2Ownコンテストで初めて悪用されました。 VUPENは、攻撃を実行した方法の詳細を開示することを拒否し、顧客のためにそれを保存したいと述べました。 Raiuは、The Maskで使用されるエクスプロイトがVUPENのエクスプロイトと同じであると断言していませんが、同じ脆弱性であることを確認しました。 「誰かが自分自身を悪用しているのかもしれない」とライウは言った。

VUPENはTwitterにアクセスして、この操作で悪用されていたことを否定し、「#Maskに関する公式声明:悪用は私たちのものではありません。おそらく#Pwn2Ownの後にAdobeがリリースしたパッチを比較することで発見されました」 言い換えると、攻撃者はパッチを当てたFlash Playerとパッチを当てていないエディションを比較し、違いを除外し、エクスプロイトの性質を推測しました。

今マスクはどこにありますか?

カスペルスキーが先週、そのマスクにThe Maskのティーザーを投稿したとき、攻撃者は彼らの活動を閉鎖し始めた、とライウは言った。 AlienVault LabsのリサーチディレクターであるJaime Blasco氏によると、Kas​​perskyがティーザーを公開してから4時間以内に攻撃者がインフラストラクチャをシャットダウンできたという事実は、攻撃者が本当にプロフェッショナルだったことを示しています。

Kaspersky Labは操作に関連するコマンドアンドコントロールサーバーをシャットダウンし、AppleはMacバージョンのエクスプロイトに関連するドメインをシャットダウンしましたが、Raiuはインフラストラクチャ全体の「スナップショット」に過ぎないと考えています。 「私たちは彼らの活動に非常に狭い窓を見ていると思う」とライウは言った。

スペイン語のコードには攻撃者がスペイン語圏の国から来たというコメントがあると推測するのは簡単ですが、ライウは、攻撃者が別の言語を簡単に赤旗として使用して調査員を追い払うことができると指摘しました。 マスクは今どこにありますか? 知りません。

今まで見たことのないマスクハック