The Mask, la più sofisticata campagna APT mai vista

11 Feb 2014

PUNTA CANA – Un gruppo hacker sponsorizzato da governi sconosciuti ha colpito diversi enti governativi, uffici diplomatici e ambasciate, società in ambito energetico, compagnie petrolifere e del gas per più di 5 anni anni, in quello che i ricercatori di Kaspersky Lab hanno chiamato la più sofisticata campagna APT mai vista.

campagna APT Ieri, durante il Security Analyst Summit tenutosi nella Repubblica Dominicana, i ricercatori di Kaspersky Lab hanno dato maggiori informazioni: la minaccia si chiama “Careto” che in spagnolo significa “brutta faccia” o “maschera”, sebbene ci sia un po’ di disaccordo attorno al suo significato tra gli ispanofoni.

Questa campagna è piuttosto preoccupante perché dimostra le eccellenti doti dei suoi autori; si tratta di hacker particolarmente abili, perfezionisti nel loro campo, e migliorano giorno dopo giorno le proprie tecniche di infezione, spionaggio e furto, colpendo con attenzione target molto specifici. Si tratta di una minaccia particolarmente allarmante perché è silenziosa; Careto o The Mask intercetta i dati degli utenti dal 2007. Se gli hacker non avessero cercato di sfruttare una vulnerabilità presente in una vecchia versione di un prodotto Kaspersky Lab, per cui esisteva già la patch, Costin Raiu, direttore di Global Research and Analysis Team, non avrebbe mai scoperto la campagna.

“Cercare di sfruttare i prodotti Kaspersky è da imprudenti” afferma Raiu durante la presentazione di The Mask.

Ad ogni modo, sofisticate campagne APT come queste sono generalmente disegnate per infettare i computer di coloro che hanno accesso a network altamente specifiche e ricercate, per esempio (come è successo in questo caso) enti governativi e società in ambito energetico. In altre parole, hanno obiettivi specifici; a loro non interessano gli utenti comuni. Un’altra ragione per non preoccuparsi troppo è che, indipendentemente da chi siano i responsabili della campagna APT, è stata bloccata qualche ora dopo che il Global Research and Analysis Team di Kaspersky Lab ha pubblicato un’anticipazione sulla campagna.

“Cercare di sfruttare i prodotti Kaspersky è da imprudenti” afferma Raiu durante la presentazione di The Mask.

I ricercatori di Kaspersky Lab, tramite la tecnica chiamata “sinkholing”, hanno preso il controllo di 90 dei domini Command and Control che gli hacker stavano usando ; Raiu ha affermato che, dopo la pubblicazione del post, gli operatori di The Mask hanno chiuso i battenti per 4 ore. Il “sinkholing” è quella tecnica di rerouting che ha permesso ai ricercatori di ottenere con forza il controllo sulla botnet o infrastruttura comunicativa malware, e redirezionare il traffico lontano dal server dannoso, centro operativo della campagna.

Ad ogni modo Raiu ha affermato che gli hacker, se volessero, potrebbero invertire l’operazione e ritornare sui propri passi molto velocemente e senza troppe difficoltà.

La campagna è degna di nota per diverse ragioni. La prima: non sembra avere nessuna connessione con la Cina, paese da cui provengono in genere la maggior parte di questi attacchi. Inoltre, è interessante perché gli autori della campagna sembrano essere ispanofoni, il che rappresenta certamente una novità – ma solo fino ad un certo punto, considerando che lo spagnolo è secondo solo al cinese mandarino in quanto a numero di locutori, con circa 400 milioni di parlanti nel mondo. Gli obiettivi principali della campagna di Careto/The Mask sono principalmente ispanofoni localizzati in più di 30 paesi.

Oltre a questo, il gruppo è famoso per aver nel loro arsenale almeno un zero-day e versioni del malware The Mask per computer con sistema operativo Mac OS X, Linux e forse persino per dispositivi mobili iOS e Android. Almeno una vittima in Marocco, afferma Raiu, aveva un dispositivo che stava comunicando con l’infrastruttura C&C su rete 3G e si spacciava per un dispositivo iOS.

“Questi ragazzi sono più abili degli ideatori della APT Flame per via del modo con cui gestiscono la propria infrastruttura” afferma Raiu. “La velocità e la professionalità va ben oltre a quella di Flame o di qualsiasi altro gruppo hacker che abbiamo visto negli ultimi tempi”.

Per chi non lo sapesse, Flame è un’altra campagna APT scoperta dai ricercatori di Kaspersky Lab nel 2012. Ha colpito principalmente i paesi del Medio Oriente ed era molto sofisticata in quanto al modo in cui generava certificati certificati digitali fraudolenti che sembravano essere emessi direttamente da Microsoft.

The Mask attaccava le proprie vittime con email di spear-phishing che portano a pagine web nocive che ospitano exploit. Questi siti vengono infatti caricati di exploit che sono accessibili solo attraverso link diretti che gli hacker inviano alle vittime.

Raiu afferma che gli autori della campagna avevano diversi strumenti a loro disposizione, incluso impianti che li abilitavano a mantenere la persistenza sui computer delle vittime, intercettare tutte le comunicazioni TCP e UDP (due tipi di protocolli attraverso i quali si muovono le informazioni) in real time e rimanevano invisibili sui computer compromessi. Il team leader di GReAT afferma che tutte le comunicazioni tra le vittime e i server C&C erano criptate.