一个使用高度复杂的多平台恶意软件的网络间谍行动在五年多的时间里未被发现,并危及了30多个国家数百个政府和私人组织的电脑。
有关这次行动的细节于周一在《纽约时报》上公布一篇论文反病毒公司卡巴斯基实验室的安全研究人员认为,这次攻击活动可能是由国家赞助的。
卡巴斯基研究人员戏称为全运“面具”的英文翻译为西班牙语单词Careto,这是什么攻击者称,他们主要的后门程序。基于在恶意软件中发现的其他文本字符串,研究人员认为它的作者可能是精通西班牙语,这是不寻常的一个APT(高级持续性威胁)的运动。
+ ALSO ON网足球竞猜app软件络世界2013年最严重的数据泄露事件+
卡巴斯基的研究人员在研究报告中说:“当受害者系统处于活跃状态时,面具可以拦截网络流量、击键、Skype对话、PGP密钥、分析WiFi流量、从诺基亚设备获取所有信息、捕捉屏幕并监控所有文件操作。”该恶意软件从受感染的系统中收集了大量文件,包括加密密钥、VPN配置、SSH密钥和RDP(远程桌面协议)文件。我们还监控了几个扩展,但我们无法识别,它们可能与定制的军事/政府级别的加密工具有关。”
通过对攻击者使用的一组命令与控制(C&C)服务器的调查和监控,发现了来自31个国家的380多名独特受害者。业务的主要对象是政府机构;大使馆和其他外交使团;能源、石油和天然气公司;研究机构;私人股本公司和维权人士。
受害者通过鱼叉式钓鱼邮件成为目标,这些邮件的链接指向利用Java和Adobe Flash Player的网站,以及针对Mozilla Firefox和谷歌Chrome的恶意扩展。这些网址被用来模仿一些流行报纸的网站,其中很多是西班牙语的,还有《卫报》、《华盛顿邮报》和《独立报》。
从C&C服务器访问的调试日志收集的历史数据显示,1000多名受害者IP(互联网协议)地址已连接到他们。排名前五位的国家的受害者IP地址数分别为摩洛哥,巴西,英国,西班牙和法国。
卡巴斯基也能够为一些C&C服务器的域名重定向到其控制下的服务器 - 为了搜集统计信息和当前的受害者的位置收集更多准确的信息 - 被称为sinkholing的操作。到天坑服务器连接的主动监测显示,因国家不同的分布,但西班牙,法国和摩洛哥这两个IP地址数和独特的受害者的ID保持在前五名。
攻击者从1月份开始关闭他们的命令和控制服务器,此时卡巴斯基研究人员所知道的所有服务器都处于离线状态。即便如此,也不能确定所有的受害者都被确认了,所以这篇论文包含了一些技术细节,组织可以用来检查他们的网络和系统是否受到这种威胁的入侵。
此外,不能排除攻击者重新发动攻击的可能性,研究人员说博客。
在复杂的方面,卡巴斯基研究人员将上述以外的网络间谍行动,例如Duqu木马,高斯,红十月和Icefog,该公司已确定在过去的几年里面具活动。
“对于Careto,我们观察到一个非常高度的敬业精神在小组的这种攻击背后的运作程序,包括监测他们的基础设施,操作的关机,通过访问规则避免了好奇的眼睛,用抹的,而不是删除日志文件和等等,”研究人员在论文中说。“这不是在APT操作很常见,敷上面膜到‘精英’APT组部分。”
攻击者所使用的恶意软件工具包包括三个不同的后门程序,其中一个在除了Windows已经为Mac OS X和Linux版本。一些证据表明可能在iOS和Android设备感染也与C&C服务器上找到,但回收这些平台上没有恶意软件样本。
该Careto后门程序收集系统信息,并可以执行其它恶意代码,卡巴斯基研究人员说。它还注入一些模块到浏览器进程 - 它可以在Internet Explorer,Mozilla Firefox和谷歌浏览器这样做 - 使用命令和控制服务器进行通信。
Careto通常用于安装第二个更复杂的后门程序,称为SGH,它有一个模块化的体系结构,可以很容易地扩展。第二个威胁包含一个rootkit组件,并具有拦截系统事件和文件操作以及执行大量监视功能的模块。
SGH还尝试利用旧版本的卡巴斯基杀毒产品,以逃避检测,这是什么引起了研究者们的关注摆在首位,并促使调查的一个漏洞。但是,该漏洞于2008年修补回来,只影响卡巴斯基工作站的版本比6.0.4老。和卡巴斯基反病毒软件和卡巴斯基互联网安全套装8.0的安装还没有被正确地更新,研究人员说。
第三后门程序是基于所谓的SBD一个开源项目,简称Shadowinteger的后门程序,它本身就是基于该网络的netcat实用。卡巴斯基研究人员发现定制SBD适用于Windows,Mac OS X和与面罩操作相关的Linux版本,但Linux的变体被破坏,无法进行分析。
多年来面具使用的后门程序的不同变体已经确定,其中最古老的似乎已在2007年被编译。
大多数样品进行数字化与颁发给来自保加利亚叫TecSystem有限公司公司有效证书签名,但如果这家公司是真实的,目前还不清楚。一个证书是有效的2011年6月28日和2013年6月28日之间的其它被认为是有效的,从2013年4月18日至2016年7月18日,但后来被VeriSign撤销了。
卡巴斯基实验室首席安全研究员伊戈尔·苏门科夫通过电子邮件表示:“国家层面的网络攻击行动可能潜伏多年,直到被发现和全面分析。”“有时候,样本会被检测到,但研究人员缺乏数据,无法从样本中勾勒出一幅‘大图’。小心翼翼地,我们不仅试图分析针对卡巴斯基产品的攻击,还试图理解大局。”
Soumenkov认为,使用西班牙语和最古老样本的编纂日期表明,来自中国、俄罗斯或美国以外国家的受到政府支持的攻击者进行网络间谍攻击的时间比之前认为的要长。