Supermalware begluurde overheden en diplomaten
Malware begluurde tenminste zes jaar ongestoord overheden, diplomaten en olie- en gasbedrijven. De Spaanstalige makers noemen de malware Careto, Spaans voor masker. Dit maakte Kaspersky bekend.
De malware is al minstens sinds 2007 betrokken bij wereldwijde cyberspionage-activiteiten. Wat The Mask zo speciaal maakt, is de complexiteit van de door de aanvallers gebruikte toolset. Deze omvat uiterst geavanceerde malware, een rootkit, een bootkit, Mac OS X- en Linux-versies en mogelijk versies voor Android en iOS (iPad/iPhone).
De voornaamste doelwitten zijn overheidsinstellingen, diplomatieke kantoren en ambassades, energie-, olie- en gasbedrijven, onderzoeksinstellingen en activisten. Slachtoffers van deze gerichte aanval zijn aangetroffen in 31 landen over de hele wereld – van het Midden-Oosten en Europa tot Afrika en Noord/Zuid-Amerika.
Het belangrijkste doel van de aanvallers is het verzamelen van gevoelige gegevens op geïnfecteerde systemen. Hiertoe behoren Office-documenten, maar ook diverse encryptiesleutels, VPN-configuraties, SSH-sleutels (bedoeld om een gebruiker te identificeren op een SSH-server) en RDP-bestanden (door de Remote Desktop Client gebruikt om automatisch een verbinding te openen naar de gereserveerde computer).
Onderzoekers werden zich vorig jaar voor het eerst bewust van Careto, toen ze stuitten op pogingen om een vijf jaar eerder gerepareerde kwetsbaarheid in de producten van het bedrijf te exploiteren. Dankzij deze exploit was de malware in staat om detectie te voorkomen. Natuurlijk wekte deze situatie hun interesse, waarna het onderzoek werd gestart.
Voor de slachtoffers kan een infectie met Careto rampzalig zijn. Careto onderschept alle communicatiekanalen en verzamelt de meest vitale informatie op de machine van het slachtoffer. Detectie is uiterst lastig vanwege de stealth rootkit-mogelijkheden, ingebouwde functionaliteiten en additionele cyberspionage-modules.
Volgens Kaspersky Labs analyserapport leunt de The Mask-campagne op spear-phishing e-mails met links naar een kwaadaardige website. De websites met exploits infecteren bezoekers echter niet automatisch. In plaats daarvan hosten de aanvallers de exploits in specifieke mappen op de website. Hier wordt nergens rechtstreeks naar verwezen, behalve in kwaadwillige e-mails.