Careto (malware)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 10:42, 5 июня 2019.
Careto/The Mask/Appetite
Careto logo.png
Common name The Mask
Technical name Careto
Aliases шпионское ПО
Classification Многофункциональное вредоносное ПО
Type Набор инструментов для кибершпионажа
Subtype троянский конь (Trojan.Win32/Win64.Careto., Trojan.OSX.Careto)
Isolation 2014
Point of origin 2007
Infection vector через фишинговые email-рассылки
Port(s) used 443
Operating system(s) affected Windows, Linux и Mac OS X; возможно Android/iOS

Careto (The Mask) – сложная программа кибершпионажа, обнаружена Kaspersky Lab в 2013 г. Среди поражаемых операционных систем находятся Microsoft Windows и Mac OS X (также возможно Linux), GReAT предполагает существование бэкдоров под Android и Apple iOS [Источник 1]. Зараженные системы обнаружены в 31 стране [Источник 2]. Вредоносное ПО в основном предназначалось для государственных учреждений или энергетических компаний [Источник 3].

Описание

Careto (The Mask) – сложное вредоносное ПО, нацеленное на шпионаж за правительствами и активистами [Источник 3], и имеющее несколько различных вариаций, впервые открыто Лабораторией Касперского в 2013 г. [Источник 1] (рис.1) вследствие попыток использования уязвимости в продуктах Kaspersky Lab с целью сделать вредоносное ПО невидимым, по предположениям GReAT (Global Research and Analysis Team) Careto скрыто функционировало на протяжении 7 лет [Источник 1].

Рисунок 1 - Данные о Careto

Чтобы минимизировать шансы на обнаружение, вредоносная программа имеет цифровую подпись с действующим сертификатом (с 2010 г.) от поддельной болгарской компании TecSystem Ltd [Источник 4] (рис. 2)

Рисунок 2 - Цифровой сертификат Careto [Источник 4]


Б. Шнайер - американский криптограф, специалист по компьютерной безопасности, специалист по конфиденциальности и писатель, в статье "The Mask Espionage Malware", опубликованной на его сайте www.schneier.com [Источник 4], предполагает, что создателем/спонсором Careto является Испания – «Исходя из преимущественного количества испаноговорящих жертв, числа инфицированных жертв в Марокко и того факта, что Гибралтар включен в список стран, в которых наблюдается заражение - за этим стоит Испания. Я предполагаю, что скоро страны начнут заражать неинтересные им цели, чтобы отвести от себя подозрения, но они все еще думают, что защищены от раскрытия. [Источник 2]».

В исследованиях Symantec, описанных в отчете по безопасности [Источник 5], отмечается «долговечность Careto, доступ к высокоразвитым инструментам, точный и целенаправленный характер указывают на то, что это очень профессиональная, хорошо организованная команда со значительными ресурсами».

В отчете GReAT (Global Research and Analysis Team) от 8.08.2016 «ProjectSauron: кибергруппировка вскрывает зашифрованные каналы связи госорганизаций» [Источник 6] об APT (Advanced Persistent Threat), Careto входит в список угроз, использующих наиболее мощные и совершенные инструменты кибершпионажа. Этот список также включает:

  • Equation;
  • Regin;
  • Duqu;
  • ProjectSauron (Strider).

Значение

Принято считать, что Careto – испанское слово, означающее «маску» или «уродливое лицо» [Источник 1], но изначально это было португальское слово с другим значением.

Careto - персонаж в маске с карнавала в Трас-ос-Монтес и Альто-Дору, в Португалии. Это человек в маске с выступающим носом из кожи, латуни или дерева, окрашенных в яркие цвета желтого, красного или черного цвета. В другом варианте - маска из ольхи, украшенная рогами и другой атрибутикой, используется в Лазариме. Считается, что традиция имеет кельтские корни еще до римского периода. Праздник Caretos является частью древней традиции, которая празднуется в Португалии в Entrudo. [Источник 7]

В Испании «Careto» стало означать «уродливое лицо» или «кривляние для фотографии». Этот термин также распространился на испаноязычные страны Южной Америки.

Цели

Careto был внедрен в государственные учреждения, дипломатические представительства и посольства. Тем не менее, он также был обнаружен в так называемых критических системах (тех объектах, работа которых необходима для района, в котором они расположены), таких как энергетические компании (включая нефтегазовые). Также в качестве целей указаны организации, занимающиеся исследовательскими и активистскими группами, что дает представление о желаемой сфере контроля злоумышленников.

Заражение

Заражение Careto осуществляется фишинг-атакой, отправкой электронных писем со ссылками на замаскированный вредоносный сайт, с перенаправлением на известный портал, такой как YouTube, после установки вредоносного ПО. Чтобы запутать пользователей были использованы субдомены, имитирующие разделы крупных газет в Испании, а также других международных газет, среди которых есть «The Guardian» и «The Washington Post» [Источник 1].

Но основная эффективность Careto проявляется в сложности используемых инструментов. Злоумышленники используют эксплойты, руткит и буткит. Лаборатория Касперского обнаружила, что была использована уязвимость Adobe Flash Player, присутствующая в версиях 10.3 и 11.2., которую компания Adobe исправила в апреле 2012 г. [Источник 1].

Компоненты и возможности

Компоненты Careto [Источник 8]:

  • Сложные вредоносные модули;
  • Стелс-руткит (программное обеспечение, обычно находящееся в ядре, предназначенное для сокрытия другого программного обеспечения или выполнения вредоносных действий);
  • Буткит (схож с руткитом, но часто находится в основной загрузочной записи);
  • 32-битный модуль вредоносных программ для Windows;
  • 64-битный модуль вредоносных программ для Windows;
  • Mac OS X модуль вредоносных программ;
  • Linux модуль вредоносных программ;
  • Версии для Android и Apple iOS (не подтвержденные).

Возможности Careto включают в себя [Источник 4]:

  • Скрытие файлов и сетевого трафика;
  • Сложные инструменты сбора информации для перечисления аппаратных и программных конфигураций;
  • Кража информации о пользователе;
  • Кража PGP и SSH ключей;
  • Загрузка пользовательских файлов;
  • Загрузка новых и обновленных вредоносных программ.

Локализация

Исследование более чем 1000 IP-адресов выявило 380 уникальных жертв Careto [Источник 2], находящихся в 31 стране.

Зараженные страны и распространение инфекций соответствуют осям внешней политики Испании. Обнаружена 31 страна (рис. 3), среди которых девять из Латинской Америки, с особым акцентом на Бразилию. В Северной Африке были заражены вредоносным ПО страны, граничащие со Средиземноморьем. Наибольшее количество заражений наблюдалось в Марокко. Страны Европы также присутствуют, список Лаборатории Касперского насчитывает семь стран [Источник 1].

Рисунок 3 - Страны, подвергшиеся атакам [Источник 1]

Другие регионы, имеющие стратегическое значение для Испании, также подверглись атакам - США, страны Ближнего Востока и Китай. Полный список состоит из Алжира, Аргентины, Бельгии, Боливии, Бразилии, Китая, Колумбии, Коста-Рики, Кубы, Египта, Франции, Германии, Гибралтара, Гватемалы, Ирана, Ирака, Ливии, Малайзии, Марокко, Мексики, Норвегии, Пакистана, Польши, ЮАР, Испании, Швейцарии, Туниса, Турции, Великобритании, США и Венесуэлы [Источник 2].

SGH

Careto устанавливает сложную бэкдор-программу под названием SGH (Slow-Growing Hierarchy) на высокомодульной расширяемой платформе, предназначенную для наблюдения. Бэкдор отправляет невидимые для сети данные и способен регулировать плагины, что позволяет создателям Careto обновлять ПО, устанавливать новые модули или активировать другие модули с серверов C&C. Установочный модуль имеет свой сценарий установки, который зашифрован в его теле. Файлы скомпилированы Visual Studio 2005 [Источник 4].

Именно благодаря пакету SGH, Careto впервые обратил на себя внимание Лаборатории Касперского, при запуске пакет использует уязвимости старых продуктов Kaspersky.

Атака работает следующим образом: сначала она пытается открыть дескриптор системного драйвера Kaspersky «\\.\KLIF» и отправляет пользовательский код DeviceloControl. Если вызов выполнен успешно, модуль и все обработанные файлы с именем «services.exe» больше не подлежат проверке антивирусным ядром. Этот метод теоретически позволяет злоумышленнику справиться с добавлением сигнатур для компонентов вредоносного ПО, поскольку продукт не сможет их обнаружить, т.к. они были «внесены в белый список». [Источник 4]

Модуль SGH по сути является бесконечно расширяемой платформой для атак, использующей зашифрованные виртуальные файловые системы.

Эксплойты

В процессе изучения кампании APT-класса Careto/The Mask GReAT были обнаружены некоторые эксплойты нулевого дня. [Источник 9]

Принцип действия заключается в следующем: жертва, переходя по ссылке из фишингового е-мейла, перенаправляется на вредоносный сайт, содержащий ряд эксплойтов, предназначенных для заражения посетителя.

В ходе исследования Лабораторией Касперского наблюдались следующие эксплойты сайтов [Источник 4]:

  • linkconf.net;
  • redirserver.net;
  • swupdt.com.

Также в исследовании отмечено, что «сайты-эксплойты не заражают посетителей автоматически, вместо этого злоумышленники размещают эксплойты в определенных папках на веб-сайте, на которые нигде нет прямой ссылки, кроме как во вредоносных электронных письмах. Иногда злоумышленники используют поддомен на сайтах эксплойтов, чтобы сделать их более подлинными [Источник 4]».

IP-адреса серверов C&C и эксплойтов [Источник 4]:

  • 190.10.9.209;
  • 190.105.232.46;
  • 196.40.84.94;
  • 200.122.160.25;
  • 202.150.211.102;
  • 202.150.214.50;
  • 202.75.56.123;
  • 202.75.56.231;
  • 202.75.58.153;
  • 210.48.153.236;
  • 223.25.232.161;
  • 37.235.63.127;
  • 75.126.146.114;
  • 81.0.233.15;
  • 82.208.40.11;
  • 62.149.227.3;
  • 75.126.146.114.

Приложения-импланты

Впервые Лаборатория Касперского столкнулась с приложениями-имплантами при исследовании Careto [Источник 10].

Для того, чтобы организовать защиту от программ электронного шпионажа, провайдеры электронной почты, частные лица, а также некоторые компании стали использовать шифрование данных. В качестве решений были реализованы принудительное шифрование соединения с сервером и сквозное шифрование данных – передаваемых и хранящихся на сервере.

В результате злоумышленники создали специальные приложения-импланты (как их называют сами создатели [Источник 10]) для мобильных устройств, позволяющие хакерам обойти принудительное шифрование соединения и сквозное шифрование данных, в том числе перехват разговоров через защищенные мобильные мессенджеры.

Наиболее подверженными целевым атакам являются телефоны с операционной системой Android, ввиду их ценовой доступности. После заражения устройства злоумышленники получают доступ к данным пользователя вне зависимости от того, какими приложениями он пользуется. Хакерам становятся доступны отправляемые и получаемые сообщения в том числе из таких мессенджеров как Viber и WhatsApp (рис. 4), а также камера, с помощью которой они могут идентифицировать жертву (рис. 5).

Рисунок 4 - Команды взаимодействия с Viber и WhatsApp [Источник 10]

Рисунок 5 – Команда взаимодействия с камерой [Источник 10]

Заключение

Несмотря на усиленное изучение принципов действия Careto и отсутствие видимых проявлений, программа шпионажа все еще способна функционировать, как минимум с помощью компьютеров, использующих устаревшие продукты Kaspersky. Более того, учитывая организационную сложность ПО, и предположения о спонсировании со стороны какого-либо государства, нельзя утверждать, что Careto может считаться устраненной угрозой.

Источники

  1. 1,0 1,1 1,2 1,3 1,4 1,5 1,6 1,7 Careto/"Маска" APT: часто задаваемые вопросы. // Securelist. [2019]. Дата обновления: 12.02.2014. URL: https://securelist.ru/caretomaska-apt-chasto-zadavaemye-voprosy/15647/ (дата обращения: 13.04.2014 )
  2. 2,0 2,1 2,2 2,3 "The Mask" Espionage Malware. // Schneier. [2019]. Дата обновления: 16.02.2014. URL: https://www.schneier.com/blog/archives/2014/02/the_mask_espion.html (дата обращения: 14.04.2019)
  3. 3,0 3,1 Mask malware takes aim at governments and activists. // bbc. [2019]. Дата обновления: 11.02.2014. URL: https://www.bbc.com/news/technology-26136412 (дата обращения: 17.04.2019)
  4. 4,0 4,1 4,2 4,3 4,4 4,5 4,6 4,7 4,8 Kaspersky Lab. Unveiling “Careto” - The Masked APT. 2014. // Cloudfront. [2019]. Дата обновления: 02.04.2014. URL: https://d2538mqrb7brka.cloudfront.net/wp-content/uploads/sites/43/2018/03/20133638/unveilingthemask_v1.0.pdf (дата обращения: 02.04.2014 )
  5. The Mask. // Symantec. [1995 - 2019]. Дата обновления: 10.02.2014. URL: https://www.symantec.com/connect/blogs/mask (дата обращения: 13.04.2019)
  6. ProjectSauron: кибергруппировка вскрывает зашифрованные каналы связи госорганизаций. // Securelist. [2019]. Дата обновления: 08.08.2016. URL: https://securelist.ru/faq-the-projectsauron-apt/28983/ (дата обращения: 16.04.2019)
  7. Careto. // Wikipedia.org.[2019]. Дата обновления: 14.02.2009. URL: https://pt.wikipedia.org/wiki/Careto (дата обращения: 17.04.2019)
  8. Careto: The Ugly Face of Very Sophisticated Malware. // Carbonblack. [2019]. Дата обновления: 06.05.2014. URL: https://www.carbonblack.com/2014/05/06/careto-the-ugly-face-of-very-sophisticated-malware/ (дата обращения: 13.04.2019)
  9. Kaspersky Security Bulletin 2014. APT-угрозы: взгляд в магический кристалл. // Securelist. [2019]. Дата обновления: 10.12.2014. URL: https://securelist.ru/kaspersky-security-bulletin-2014-apt-ugrozy-vzglyad-v-magicheskij-kristall/24616/ (дата обращения: 15.04.2019)
  10. 10,0 10,1 10,2 10,3 Использование мобильных таргетированных имплантов в эпоху кибершпионажа. // Securelist. [2019]. Дата обновления: 18.01.2016 URL: https://securelist.ru/ispolzovanie-mobilnyx-targetirovannyx-iplantov-v-epoxu-kibershpionazha/27787/ (дата обращения: 14.04.2019)