Az orosz bázisú biztonsági cég, a Kaspersky pár napja jelentette be, hogy egy minden eddiginél kifinomultabb malware-t fedeztek fel, mely már 2007 óta aktív, és valószínűleg állami készítésű, illetve állami célokat szolgált. Ahogy az IT café is beszámolt róla, a vállalat közleménye nem árult el részleteket, azt ígérték, hogy február 10-én az általuk szervezett biztonsági konferencián mutatják ezeket be – tegnap így is történt, és ezzel egy időben a Kaspersky leírást is kiadott, illetve hivatalos blogjukban is közölnek egy rövid összefoglalót.

A beszámolókból kiderül, hogy a Kaspersky Lab munkatársai egy tavaly indított vizsgálat során olyan projektet fedeztek fel, mely jelentőségét tekintve csak a korábban megismert, kiemelten okos kémprogramokhoz (Duqu, Flame stb.) hasonlítható. Az akciónak a „The Mask” nevet adták, mivel a malware készítői saját backdoor programjukat e szó spanyol megfelelőjével jelölték meg („Careto”). A támadások során kémkedési céllal, egy különösen kifinomult, multiplatform malware segítségével fertőztek meg rendszereket. A hét éve zajló akcióban több mint 30 országban több száz, kormányzati, illetve magánszervezeteknél lévő számítógépet kompromittáltak. A Kaspersky azt feltételezi, hogy az APT-nek értékelt (magas szintű, folyamatos fenyegetés – advanced persistent threat) Mask mögött állami szponzoráció áll.

A Mask roppant sokoldalú: amennyiben bejut egy rendszerbe, akkor figyeli a hálózati forgalmat, a billentyűleütéseket, a Skype-kommunikációt, a PGP titkosítási kulcsokat, elemzi a wififorgalmat, a Nokia készülékeiről képes begyűjteni az összes lehetséges információt, tud képernyőképeket készíteni, nyomon követi az összes fájlműveletet. Emellett egy megadott lista alapján megszerzi a rendszerben található dokumentumokat, köztük a titkosítási kulcsokat, a VPN-konfiguráció adatait, az SSH kulcsokat, illetve a távoli hozzáférést biztosító protokoll, az RDP fájljait. Ezeken kívül folytat még olyan tevékenységeket, melyek célját a Kaspersky kutatói egyelőre nem tudták azonosítani, de azt feltételezik, hogy a katonai, kormányzati titkosítási folyamatokkal kapcsolatos monitorozásról lehet szó.

Az adatokhoz a 31 országban elszórt több mint 380 irányító szerver azonosításával és megfigyelésével jutottak. A vizsgálat közben azt tapasztalták, hogy a Mask fő célpontjai állami intézmények mellett energiaipari, olaj- és gázipari cégek, illetve kutatóintézetek, befektetői társaságok, valamint aktivisták voltak. A fertőzések bejuttatására rég bevált módszereket használtak: a Java és az Adobe Flash sebezhetőségeit kiaknázva megfertőzött weboldalakra vezető linkeket küldtek szét e-mailben (többek között nagy nyugati lapok weboldalai is fertőzöttek voltak). A három különböző behatoló programot használó Mask egyik változata egészen biztosan futott mindhárom nagy operációs rendszeren (Windows, Mac OS, Linux), de nagyon valószínű, hogy működött mobilon, iOS-en és Androidon is.

Összesen több mint ezer áldozatul esett IP-t találtak, a legtöbbet Marokkóban, Brazíliában, Nagy-Britanniában, Spanyolországban és Franciaországban. A Kasperskynek sikerült az úgynevezett „sinkholing” módszer segítségével néhány irányító szerver forgalmát saját szerverükre terelni, így közvetlenül figyelték a történéseket, és ebből is az derül ki, hogy a fő célpontok e mérés alapján is Spanyolország, Franciaország és Marokkó voltak.

A beszámolóból kiderül, hogy a támadók az akciót idén januártól kezdve leállították, az irányító szerverek mára inaktívvá váltak. Azt nem tudni, hogy pihenőről van szó, vagy pedig végleg lezárták a programot.