Top

Kaspersky Lab Scopre The Mask: Operazione Cyber-Spionaggio

Recentemente, il team di Kaspersky Lab ha scoperto una nuova operazione di cyber-spionaggio internazionale denominata “The Mask” (aka Careto). I criminali informatici parlano spagnolo e stanno cercando di colpire istituzioni governative, società in ambito energetico, compagnie petrolifere e del gas. Non è la prima volta che succede tutto ciò, anzi in una società in cui la tecnologia risulta essere indispensabile, le operazioni di cyber-spionaggio stanno diventando sempre di più frequenti. Andiamo a vedere, in dettaglio, cosa è The Mask e come funziona.

the-mask-careto

The Mask: Cyber-Spionaggio Sofisticato

In questi ultimi giorni, online, vi è una nuova campagna di cyber-spionaggio denominata “The Mask“. I principali obiettivi coinvolti sono enti governativi, uffici diplomatici e ambasciate, società in ambito energetico, compagnie petrolifere e del gas, società di ricerca e attivisti. Non solo, quello che rende The Mask speciale è la sua complessità, visto che comprende un malware estremamente sofisticato, un rootkit, un bootkit e versioni anche per Mac OS X e Linux. Molto probabilmente, i cyber-criminali hanno sviluppato alcune versioni dedicate ad Android ed iOS.

L’obiettivo, come sempre, è quello di colpire sistemi contenenti dati sensibili tra cui documenti Office, configurazioni VPN, chiavi di crittografia, chiavi SSH ed anche file RDP, utilizzati da Client Remote Desktop per aprire automaticamente una connessione su un computer riservato.

Kaspersky Lab ha registrato oltre 380 vittime uniche tra oltre 1000 IP. In particolare, le infezioni sono state rilevate in Algeria, Argentina, Belgio, Bolivia, Brasile, Cina, Colombia, Costa Rica, Cuba, Egitto, Francia, Germania, Gibilterra, Guatemala, Iran, Iraq, Libia, Malesia, Messico, Marocco, Norvegia, Pakistan, Polonia, Sud Africa, Spagna, Svizzera, Tunisia, Turchia, Regno Unito, Stati Uniti e Venezuela.

“Diverse ragioni ci portano a credere che questa possa essere una campagna sponsorizzata da Stati-Nazioni. Prima di tutto, abbiamo riscontrato un livello di professionalità molto alto nelle procedure operative del gruppo che sta dietro all’attacco. Dalla gestione dell’infrastruttura fino all’arresto delle operazioni, evitando di attirare l’attenzione attraverso le regole di accesso e utilizzando wiping al posto della cancellazione dei file di log. Questa combinazione rende questo APT ancora più sofisticato rispetto a Duqu, diventando una delle minacce più avanzate in questo momento” Costin Raiu, Director of the Global Research and Analysis Team (GReAT), Kaspersky Lab

Il metodo d’infezione si basa su email di spear-phishing con link a siti web nocivi. Non è la prima volta che si vede una sorta di attacchi del genere, ma nel caso di The Mask il sito malevolo contiene un numero di exploit sviluppati per colpire in base alle configurazioni del sistema. Questa tecnica, quindi, analizza il computer dell’utente e dopo l’infezione lo reindirizza ad un sito web non nocivo, ad esempio un video su YouTube o portale di informazioni. Attraverso l’utilizzo di sottodomini, vengono simulate sottosezioni dei principali quotidiani spagnoli e internazioni quali “The Guardian” e “Washington Post“.

Questa metodologia di attacco è difficile da individuare e, non a caso, i cyber-criminali hanno realizzato toolkit dotati di funzionalità nascoste. Per il momento, i prodotti Kaspersky Lab sono tra i pochi in grado di rimuovere il malware The Mask/Careto. Cosa ne pensate?

The Mask_Careto

email
Related Posts Plugin for WordPress, Blogger...

Non perdere l'opportunità di ricevere il meglio di Ziogeek!


Commenti


Fatal error: Uncaught Exception: 12: REST API is deprecated for versions v2.1 and higher (12) thrown in /home/ziogeek/public_html/wp-content/plugins/seo-facebook-comments/facebook/base_facebook.php on line 1273