Карето (вредоносное ПО)
Careto (на испанском сленге слово «лицо»), иногда называемое The Mask , представляет собой шпионскую вредоносную программу, обнаруженную «Лабораторией Касперского» в 2014 году. Благодаря высокому уровню сложности и профессионализма, а также целевому списку, включавшему дипломатические офисы и посольства, Careto считается делом национального государства. [1] Касперский полагает, что создатели вредоносного ПО были испаноязычными. [1]
предполагает, что из-за сосредоточения внимания на жертвах, говорящих по-испански, а также серьезных атак на Марокко и Гибралтара , Брюс Шнайер Careto управляется Испанией . [2]
Полезная нагрузка
[ редактировать ]Careto обычно устанавливает вторую, более сложную программу-бэкдор под названием SGH. SGH легко модифицируется, а также имеет более широкий арсенал, включая возможность перехвата системных событий, файловых операций и выполнения более широкого спектра функций наблюдения. [3] Информация, собранная SGH и Careto, может включать ключи шифрования , конфигурации виртуальной частной сети , а также ключи SSH и другие каналы связи. [4]
Обнаружение и удаление
[ редактировать ]Careto трудно обнаружить и уничтожить из-за его скрытности . Кроме того, большинство образцов имеют цифровую подпись . Подписи выданы болгарской компанией TecSystem Ltd., но подлинность компании неизвестна. Один из выданных сертификатов действовал с 28 июня 2011 г. по 28 июня 2013 г. Другой действовал с 18 апреля 2013 г. по 18 июля 2016 г., но был отозван компанией Verisign . [5]
Careto был обнаружен, когда он пытался обойти продукты безопасности «Лаборатории Касперского» . [6] Обнаружив, что Careto пытается использовать их программное обеспечение, Касперский начал дальнейшее расследование. В рамках сбора статистики многочисленные провалы . на серверах управления и контроля были размещены [5]
В настоящее время большинство современных антивирусных программ могут обнаруживать и успешно удалять вредоносные программы.
Распределение
[ редактировать ]В ходе расследования серверов управления и контроля выяснилось, что было заражено более 380 жертв. Судя по обнаруженной информации, жертвы были заражены вредоносным ПО, щелкнув фишинговую ссылку , которая перенаправляла на веб-сайты, на которых было программное обеспечение, которое Careto мог использовать, например Adobe Flash Player . С тех пор игрок был исправлен, и Careto больше не может его использовать. Веб-сайты, на которых содержалось вредоносное программное обеспечение, имели названия, похожие на названия популярных газет, таких как The Washington Post и The Independent . [7]
Сообщается, что вредоносное ПО имеет несколько бэкдоров для Linux , Mac OS X и Windows . доказательства возможного четвертого типа бэкдора для Android и IOS , но образцов обнаружено не было. На командных серверах были обнаружены [3]
Предполагается, что Careto был составлен еще в 2007 году. Сейчас известно, что атаки прекратились в январе 2014 года. [5]
Ссылки
[ редактировать ]
- ^ Jump up to: а б «Лаборатория Касперского раскрывает «Маску»: одну из самых совершенных глобальных операций кибершпионажа на сегодняшний день из-за сложности набора инструментов, используемого злоумышленниками, 11 февраля 2014 г.» . Архивировано из оригинала 21 февраля 2014 года . Проверено 11 февраля 2014 г.
- ^ « Маска» Шпионское вредоносное ПО — Шнайер о безопасности» . schneier.com .
- ^ Jump up to: а б Лучиан Константин (11 февраля 2014 г.). «Раскрытие «Маски»: сложные вредоносные программы свирепствовали в течение 7 лет» . ПКМир .
- ^ «Лаборатория Касперского» раскрывает «Маску»: одну из самых совершенных глобальных операций кибершпионажа на сегодняшний день из-за сложности набора инструментов, используемых злоумышленниками» . Архивировано из оригинала 21 февраля 2014 г. Проверено 11 февраля 2014 г.
- ^ Jump up to: а б с «APT Careto/Mask: Часто задаваемые вопросы» .
- ^ «Секретист» . Проверено 3 апреля 2015 г.
- ^ «Раскрытие «Маски»: сложные вредоносные программы свирепствовали в течение 7 лет» . ПКмир . Проверено 2 апреля 2015 г.