Kaspersky Lab informē, ka ir atklājis globālu kiberspiegošanas tīklu «Maska», ko pārvalda spāņvalodīgi hakeri. Konstatētās pēdas liecina, ka operācija turpinās vismaz kopš 2007. gada. Tā izceļas ar uzbrucēju arsenāla sarežģītību, kurā ietvertas sevišķi izsmalcinātas ļaunprogrammatūras, kas paredzētas dažādām platformām, tai skaitā Mac OS X, Linux un, iespējams, iOS.
Ļaundaru darbības galvenokārt bija vērstas pret valsts iestādēm, diplomātiskajiem birojiem un vēstniecībām, enerģētikas un naftas un gāzes uzņēmumiem, pētniecības organizācijām un politiskajiem aktīvistiem. Saskaņā ar Kaspersky Lab aplēsēm mērķuzbrukumam bija pakļauti 380 upuri 31 valstī visā pasaulē, tostarp Tuvajos Austrumos, Eiropā, Āfrikā un Amerikā.
Uzbrucēju galvenais mērķis bija vērtīgas informācijas vākšana no inficētajām sistēmām, ieskaitot dažādus dokumentus, šifrēšanas atslēgas, VPN iestatījumus, lietotāja identificēšanai serverī izmantotās SSH atslēgas, kā arī datnes, ko programmas izmanto attālinātas piekļuves datoram nodrošināšanai.
«Vairāki iemesli liek mums domāt, ka tā var būt kampaņa, kas saņem valsts atbalstu. Pirmām kārtām mēs grupas darbībās novērojam ārkārtīgi augstu profesionālisma līmeni. Tā nodrošina savas infrastruktūras uzraudzību, slēpj sevi, izmantojot piekļuves norobežošanas sistēmas noteikumus, pilnīgi izdzēš žurnālfailu saturu, nevis pašas datnes kā parasti, kā arī, ja nepieciešams, pārtrauc jebkādas darbības. Šāds pašaizsardzības līmenis nav tipisks kibernoziedzniekiem. Tas viss liecina, ka sarežģītības ziņā šī kampaņa pārspēj pat Duqu — var teikt, ka šis pašlaik ir vissarežģītākais šīs klases apdraudējums,» paskaidroja Kaspersky Lab globālā pētniecības centra vadītājs Kostins Raju.
Cietušajiem inficēšanās var radīt katastrofālas sekas. Ļaunprogrammatūra pārtver visus komunikācijas kanālus un vāc svarīgāko informāciju no lietotāja datora. Inficēšanos atklāt ir ļoti grūti sistēmlauznī pieejamo slēpšanas mehānismu un ietverto kiberspiegošanas papildu moduļu dēļ. Līdztekus iebūvētajām funkcijām ļaundari varēja lejupielādēt inficētajā datorā moduļus, kas ļauj izpildīt jebkādu kaitīgo darbību kopumu.
Rūpīga izpēte atklāja, ka šo programmu autoriem dzimtā valoda ir spāņu — agrāk šāda līmeņa uzbrukumos tas netika novērots. Analīze parādīja, ka operācija «Maska» tika aktīvi veikta piecus gadus līdz 2014. gada janvārim (bet dažiem ļaunprogrammatūru paraugiem izveides datums bija 2007. gads) — pētījuma laikā ļaundaru vadības serveru darbība bija pārtraukta.
Lietotāju inficēšana notika, nosūtot pikšķerēšanas e-pastus, kas ietvēra saites uz kaitīgiem resursiem. Šajās vietnēs atradās vairāki mūķi, kas atkarībā no apmeklētāja sistēmas konfigurācijas izmantoja dažādas uzbrukuma metodes viņa datoram. Ja inficēšanas mēģinājums bija sekmīgs, kaitīgā vietne novirzīja lietotāju uz nekaitīgu resursu, kas bija minēts vēstulē, — tas varēja būt YouTube vai ziņu portāls.
Svarīgi pieminēt, ka pašas kaitīgās vietnes automātiski neinficēja apmeklētājus, ja tie vērsās, izmantojot tikai domēna nosaukumu. Ļaundari glabāja mūķus atsevišķos katalogos, saites uz kuriem bija tikai vēstulēs — tieši noklikšķinot uz tām, lietotājs tika pakļauts uzbrukumam. Dažreiz šajās vietnēs ļaundari izmantoja apakšdomēnus, lai pilnas adreses izskatītos ticamākas. Šie apakšdomēni atdarināja populāru spāņu, kā arī vairāku starptautisku — «The Guardian» un «Washington Post» — avīžu sadaļas.
Pašlaik Kaspersky Lab izstrādājumi atklāj un likvidē visas zināmās programmu «Maska» versijas. Ar sīku pārskatu, kas ietver mehānismu darbības aprakstu un inficēšanas statistiku, var iepazīties šeit.
