Kaspersky Lab a făcut publică descoperirea unei noi arme din arsenalul cibernetic, The Mask fiind una dintre cele mai avansate operaţiuni de spionaj cibernetic la nivel global cunoscute până în prezent datorită complexităţii setului de instrumente utilizate de către atacatori. Această campanie de spionaj vizează instituţii guvernamentale, companii din domeniul energiei, petrolului şi gazelor sau alte victime foarte importante, iar rutinele software de propagare şi control folosesc un set de instrumente malware cu funcţii mixte şi compatibilitate multiplatformă.
Conform Kaspersky, campania de spionaj cibernetic The Mask (sau Careto, conform comentariilor din cod făcute în limba spaniolă) datează încă din 2007. Cercetătorii Kaspersky Lab au aflat de existenţa lui Careto anul trecut, când au observat tentative de a exploata o vulnerabilitate a produselor companiei care fusese reparată cu cinci ani în urmă, iar analiza codului buclucaş a dus la descoperirea The Mask. În timpul investigaţiilor Kaspersky Lab, serverele de comandă şi control au fost închise.
Caracterul special al „The Mask” este dat de complexitatea setului de instrumente utilizate de către atacatori. Acesta include un malware extrem de sofisticat, un rootkit, un bootkit, versiuni adaptate pentru Mac OS X şi Linux şi, probabil, versiuni pentru Android şi iOS (iPad/iPhone). Ţintele principale sunt instituţii guvernamentale, birouri diplomatice şi ambasade, companii din domeniul energiei, petrolului şi gazelor, organizaţii de cercetare şi activişti. Numărul victimelor acestui atac cu ţinte specifice se ridică în prezent la 380, acestea provenind din 31 de ţări din toate colţurile lumii.
Principalul obiectiv al atacatorilor este acela de a colecta informaţii cu caracter confidenţial din sistemele infectate. Acestea includ documente oficiale, dar şi diverse chei de criptare, configuraţii VPN, chei SSH (care au rolul de a identifica un utilizator sau un server SSH) şi fişiere RDP (utilizate de către Remote Desktop Client pentru a deschide automat o conexiune cu computerul rezervat).
The Mask interceptează toate canalele de comunicare şi colectează cele mai importante informaţii de pe dispozitivul victimei. Detectarea este extrem de dificilă datorită capacităţilor de rootkit foarte discrete, a funcţionalităţilor încorporate şi a modulelor suplimentare de spionaj cibernetic. Malware-ul interceptează toate canalele de comunicare şi colectează cele mai importante informaţii din sistemele infectate. The Mask este un sistem extrem de modular, folosindu-se de plugin-uri şi fişiere de configurare, care îi permit să îndeplinească un număr mare de funcţii. În plus faţă de funcţionalităţile încorporate, operatorii lui Careto ar putea să încarce module suplimentare care ar putea îndeplini orice sarcină cu caracter malware.
Potrivit raportului de analiză Kaspersky Lab, campania „The Mask” se bazează pe e-mail-uri de tip „spear-phising” cu link-uri către website-uri cu o componentă malware. Website-ul infectat conţine un număr de exploit-uri create pentru a–l infecta pe vizitator, în funcţie de configuraţia sistemului. În momentul infectării cu succes, website-ul infectat redirecţionează utilizatorul către site-ul legitim la care se făcea referire în e-mail, care poate fi YouTube sau un portal de ştiri.
Datorită complexităţii instrumentelor software şi a naturii speciale a victimelor, Kaspersky Lab afirmă că avem de-a face în mod aproape sigur cu o campanie de spionaj în spatele căreia se află una sau mai multe agenţii de spionaj cu caracter naţional. Reprezentanţii Kaspersky afirmă că The Mask este o campanie de spionaj mai complexă decât Duqu, Gauss, RedOctober sau Icefog şi la fel de elaborată ca Stuxnet sau Flame. The Mask este a doua campanie masivă de spionaj descoperită în ultima lună, Rusia fiind acuzată la finele lunii ianuarie de desfăşurarea unei operaţiuni de spionaj cibernetic cunoscută sub numele CrowdStrike.