Hét év busójárás

(2014. február 11.)

- Kaspersky PR, Viruslist.com nyomán -

A Kaspersky Lab lerántja a leplet egy újabb nemzetközi e-kém hálózatról.

A Kaspersky Lab víruskutatói - korábbi ígéretüknek megfelelően - hétfői konferenciájukon közzétették egy újabb, általuk leleplezett, fejlett és hosszantartó kiber-kémkedési akció avagy APT típusú támadás részleteit.

A feltehetően spanyol anyanyelvű hackerek által készített kártevő-rendszer - amely a programkódban található egyik megjegyzés alapján a Careto (maszk, ronda arc) elnevezést kapta a víruselemzőktől - már legalább 2007. óta jelen van a neten, de működése 2012-ben, hat újabb alváltozatának megjelenésével vált igazán aktívvá. Rendkívüli fejlettsége miatt a fertőzés sokáig észrevétlen maradhatott és lebukását is csak egy, az üzemeltetői által elkövetett hibának köszönhette.

Az e-kémek ugyanis az egyik Careto-támadás végrehajtása során megpróbáltak kihasználni egy, a Kaspersky szoftverek régebbi verzióit sújtó biztonsági rést - amelyet azonban a gyártó már legalább 5 éve felismert és befoltozott, sőt az ilyen támadási irányra vonatkozó detektálást is elhelyezte a vírusismereti adatbázisban! Mivel korábban hasonló próbálkozást nem tapasztaltak, az automata riasztás beérkezése után az orosz antivírus-gyártó szakemberei alaposan utánanéztek a furcsa esetnek.

Célkeresztben a fejlődő világ

Mint kiderült, az incidens egy olyan széleskörű, több-platformos online kémkedési művelet apró részlete volt, amelyet minden bizonnyal egy külföldi ország részére vagy megbízásából dolgozó hackerek, kiber-katonák hajtottak végre - többek között Windows, Apple Mac OS X számítógépeket támadó, illetve a naplók nyomai alapján feltehetően Linux, Android és Apple iOS, iPad eszközöket is megfertőző fejlett, rejtőzködő adattolvaj kártevők segítségével.

Az eddigi adatok alapján a Careto világszerte legalább 380 olyan értékes információkkal rendelkező, egyedi célpontot tört fel, mint pl. a kormányzati szervek, külképviseletek, energetikai cégek és olaj-gázipari szereplők, kutató-intézetek, kockázati tőkét befektető alapok, illetve az aktivista szervezetek.

Az APT típusú incidensek célzott jellegét mutatja, hogy a víruskutatók eddig, összesen alig több mint 1000 fertőzött IP-címet találtak, vagyis átlagosan kevesebb mint három feltört számítógépet azonosítottak egy-egy áldozatnál, miközben a Careto akció hatóköre világszerte legalább 31 országra terjedt ki:

Algéria, Argentína, Belgium, Bolívia, Brazília, Costa Rica, Dél-Afrika, Egyiptom, Franciaország, Gibraltár (brit gyarmat), Guatemala, Irán, Irak, Kína, Kolumbia, Kuba, Lengyelország, Líbia, Malajzia, Marokkó, Mexikó, Nagy-Britannia, Németország, Norvégia, Pakisztán, Spanyolország, Svájc, Tunézia, Törökország, USA és Venezuela

Lopakodva jön és mindent visz

A kártevőt a támadók célzott adathalász levelekben terjesztették, amelyek gyakran tisztességes önéletrajz mellékletnek látszó, de támadókóddal "mérgezett" fájlt tartalmaztak (pl. cv-edward-horgan.pdf, DanielGarciaSuarez_cv_es.pdf, Inspired By Iceland.doc). Ezen trükk segítségével a hackerek rejtett netes letöltést indítottak egy jogosulatlan távoli hozzáférést lehetővé tevő hátsóajtó kód telepítése érdekében - miközben a gyanútlan áldozatot látszólag a YouTube portálra vagy ártalmatlan híroldalakra irányították át.

A Careto által alkalmazott "nulladik napi" támadókódok közül különösen botrányos a CVE-2012-0773 jelzésű algoritmus este, amely az Adobe Flash Player webanimációs rendszer 10.3 - 11.2 verzióinak feltörésére alkalmas. A Kaspersky labor gyanúja szerint ezt a Google Chrome böngésző-környezet ellen igen hatásos fejlesztést a francia VUPEN kiberfegyver-kereskedőház adhatta el a Careto hackereinek - amit a nevezett cég hevesen cáfol.

A Careto-kampány hosszú ideig hatékonynak bizonyult rejtőzködését segítette, hogy a kártevő egy rendszer-könyvtárakba beépülő, erőteljes Windows rootkit és bootkit modult is tartalmaz. Ez az álca elfedi a Weevil-B hátsóajtó komponens széleskörű adattolvaj tevékenységét - amely a VPN és SSH titkosító kulcsok, RDP távoli asztal fájlok és PDF dokumentumok hiteles aláírását lehetővé tevő tanúsítványok mellett nagyszámú, részben még ismeretlen fájltípust is begyűjt a megfertőződött gépekről:

.AKF, .ASC, .AXX, .CFD, .CFE, .CRT, .DOC*, .EML, .ENC, .GMG, .GPG, .HSE, .KEY, .M15, .M2F, .M2O, .M2R, .MLS, .OCFS, .OCU, .ODS, .ODT, .OVPN, .P7*, .PAB, .PDF, .PGP, .PKR, .PPK, .PSW, .PXL, .RDP, .RTF, .SDC, .SDW, .SKR, .SSH, .SXC, .SXW, .VSD, .WAB, .WPD, .WPS, .WRD, .XLS*

Visszavonult trónkövetelő

Összességében az orosz víruskutatók úgy vélik, hogy a Careto-hálózat az eddig leleplezett eredményei és képességei, pl. a modulárisan bővíthető szerkezete alapján fejlettebbnek tekinthető a kiber-kémkedésben eddig "etalonnak" számító Duqu kártevőnél - ami nagy szó, hiszen a Duqu-Stuxnet-Tilded kódcsaládot az elektronikus hadviselésben vezető szerepet játszó amerikai-izraeli koalíció készítette.

A leleplezéssel azonban a Careto kártevők karrierje (egyelőre) véget ért, miután az eddig ismeretlen hovatartozású hackerek 2014. januárjában észrevették, hogy az infobiztonsági kutatók átirányítják a veszélyes adatforgalmat ún. "sinkhole" doménekre. Válaszként az e-kémek leállították az adattolvaj rendszerüket vezérlő C&C szervereket és alapos távoli adattörlésbe (wipe) kezdtek, hogy megnehezítsék a sok éve tartó akció hátterének és az esetleg még rejtve maradt kártevő-változatoknak a részletesebb vizsgálatát.