日前,随着卡巴斯基实验室在2014年安全分析师峰会上将一份爆炸性调查报告公之于众,一个名为“面具”(The Mask,又称为Careto)的全球网络间谍攻击行动进入了大众的视野,在全球范围内引起了热议。“面具”的发起者被指使用西班牙语,通过跨平台恶意软件工具对政府机构、能源、石油和天然气公司以及其他受害者发动攻击。 “面具”的发现者卡巴斯基实验室,在过去的二十年间一直致力于保障全球网络安全,在网络攻击活动的检测与防御方面始终处于领先地位,曾率先发现“火焰”、 “红色十月”、NetTravel、Kimsuky等网络间谍行动,并在极短的时间内提供相应的解决方案。
然而,与以往所发现的攻击活动有所不同的是,“面具”被该实验室认为是“迄今为止最高级的全球网络间谍行动”,并称“攻击者所使用的工具极为复杂”。根据目前卡巴斯基实验室的发现与分析,这些言论有理有据,绝非危言耸听。“面具”具有以下特点:
隐匿时间之久
“面具”攻击行动由使用西班牙语的攻击者所展开,这本身在APT攻击中已属罕见。此外,有些Careto样本编译于2007年。换言之,该攻击至少从2007年就已经开始,并一直持续到2014年1月。
董事会主席兼CEO尤金·卡巴斯基在其推特上这样写道,“在卡巴斯基实验室公布了 ‘面具’相关信息的四个小时后,该攻击行动就停止了。”
疑有政府撑腰
根据卡巴斯基实验室目前掌握的信息,卡巴斯基实验室全球研究和分析团队(GReAT)总监Costin Raiu表示,“多种原因让我们觉得这次攻击行动是一次由政府和国家资助的攻击行动。首先,我们观察到这种攻击背后的集团执行攻击步骤的专业程度非常高。包括基础设施的管理、攻击行动的终止、以及采用访问规则而不是删除日志文件来避免其他用户发现攻击。结合上述种种表现,使得这次高级可持续性攻击(APT)在复杂性方面远超过Duqu攻击,令其成为迄今为止最为高级和复杂的威胁,这种水平的安全操作对于网络犯罪集团来说是不正常的”。
入侵范围之广
这样一个高水平的攻击行动在过去的7年时间里究竟在全球范围内造成了多大规模的影响呢?
IP地址显示出的“面具”受害者分布图(图片来源于卡巴斯基实验室)
根据卡巴斯基实验室发布的一组数据,我们可以找到答案。在超过1000个IP中,卡巴斯基实验室发现超过380个不同的受害者。此外,还发现这一针对性攻击的受害者遍布全球31个国家,包括:阿尔及利亚、阿根廷、比利时、玻利维亚、巴西、中国、哥伦比亚、哥斯达黎加、古巴、埃及、法国、德国、直布罗陀、瓜地马拉、伊朗、伊拉克、利比亚、马来西亚、墨西哥、摩洛哥、挪威、巴基斯坦、波兰、南非、西班牙、瑞士、突尼斯、土耳其、英国、美国和委内瑞拉。其中,来自摩洛哥、巴西、英国等三个国家的受害者数量居于榜首。
这次攻击行动的主要目标是政府机构、外交机构和大使馆、能源、石油和天然气公司、研究机构以及活跃人士。
攻击者的主要目的是从受感染系统收集敏感数据。这些数据不仅仅限于公司文档,还包括加密密钥、VPN配置、SSH密匙(做为SSH服务器识别用户的凭证)和RDP文件(远程桌面客户端使用其自动连接专门的计算机)。
后果非常严重
据悉,攻击者使用的工具的复杂性和通用性使得这次网络间谍攻击行动非常特殊。包括使用高端的漏洞利用程序、极度复杂的恶意软件、rootkit、bootkit功能以及Mac OS X和Linux版本恶意软件,甚至包含安卓和iOS版本恶意软件。此外,“面具”还会针对卡巴斯基实验室产品进行定制化攻击。
对受害者来说,感染Careto恶意软件是一场灾难。Careto会拦截所有通讯渠道,从受害者计算机上收集重要的信息。对该恶意软件进行检测非常困难,因为其具有隐蔽的rootkit功能以及额外的网络间谍模块。
根据卡巴斯基实验室的分析报告,“面具”攻击行动依赖于鱼叉式钓鱼攻击邮件,其中包含指向恶意网站的链接。恶意网站包含多种漏洞利用程序,能够根据不同的系统配置感染访问者。一旦成功感染,恶意网站会将用户重定向到邮件中所指的良性网站,如YouTube中的一段影片或某个新闻门户网站。
卡巴斯基实验室的产品目前已经能够检测和清除所有已知版本的“面具”/Careto恶意软件。