{"id":2664,"date":"2014-02-11T16:00:28","date_gmt":"2014-02-11T16:00:28","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=2664"},"modified":"2022-07-20T19:50:14","modified_gmt":"2022-07-20T17:50:14","slug":"the-mask-la-piu-sofisticata-campagna-apt-mai-vista","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/the-mask-la-piu-sofisticata-campagna-apt-mai-vista\/2664\/","title":{"rendered":"The Mask, la pi\u00f9 sofisticata campagna APT mai vista"},"content":{"rendered":"<p>PUNTA CANA \u2013 Un gruppo hacker sponsorizzato da governi sconosciuti ha colpito diversi enti governativi, uffici diplomatici e ambasciate, societ\u00e0 in ambito energetico, compagnie petrolifere e del gas per pi\u00f9 di 5 anni anni, in quello che i ricercatori di Kaspersky Lab hanno chiamato la pi\u00f9 sofisticata <a href=\"https:\/\/www.kaspersky.it\/blog\/tutto-quello-che-dovete-sapere-sulle-apt\/\" target=\"_blank\" rel=\"noopener\">campagna APT<\/a> mai vista.<\/p>\n<p>Ieri, durante il Security Analyst Summit tenutosi nella Repubblica Dominicana, i ricercatori di Kaspersky Lab hanno dato maggiori informazioni: la minaccia si chiama \u201cCareto\u201d che in spagnolo significa \u201cbrutta faccia\u201d o \u201cmaschera\u201d, sebbene ci sia un po\u2019 di disaccordo attorno al suo significato tra gli ispanofoni.<\/p>\n<p>Questa campagna \u00e8 piuttosto preoccupante perch\u00e9 dimostra le eccellenti doti dei suoi autori; si tratta di hacker particolarmente abili, perfezionisti nel loro campo, e migliorano giorno dopo giorno le proprie tecniche di infezione, spionaggio e furto, colpendo con attenzione target molto specifici. Si tratta di una minaccia particolarmente allarmante perch\u00e9 \u00e8 silenziosa; Careto o The Mask intercetta i dati degli utenti dal 2007. Se gli hacker non avessero cercato di sfruttare una vulnerabilit\u00e0 presente in una vecchia versione di un prodotto Kaspersky Lab, per cui esisteva gi\u00e0 la patch, Costin Raiu, direttore di <i>Global Research and Analysis Team<\/i>, non avrebbe mai scoperto la campagna.<\/p>\n<p>\u201cCercare di sfruttare i prodotti Kaspersky \u00e8 da imprudenti\u201d afferma Raiu durante la presentazione di The Mask.<\/p>\n<p>Ad ogni modo, sofisticate campagne APT come queste sono generalmente disegnate per infettare i computer di coloro che hanno accesso a network altamente specifiche e ricercate, per esempio (come \u00e8 successo in questo caso) enti governativi e societ\u00e0 in ambito energetico. In altre parole, hanno obiettivi specifici; a loro non interessano gli utenti comuni. Un\u2019altra ragione per non preoccuparsi troppo \u00e8 che, indipendentemente da chi siano i responsabili della campagna APT, \u00e8 stata bloccata qualche ora dopo che il <i>Global Research and Analysis Team<\/i> di Kaspersky Lab ha pubblicato un\u2019anticipazione sulla campagna.<\/p>\n<div class=\"pullquote\">\u201cCercare di sfruttare i prodotti Kaspersky \u00e8 da imprudenti\u201d afferma Raiu durante la presentazione di The Mask.<\/div>\n<p>I ricercatori di Kaspersky Lab, tramite la tecnica chiamata \u201csinkholing\u201d, hanno preso il controllo di 90 dei domini Command and Control che gli hacker stavano usando ; Raiu ha affermato che, dopo la pubblicazione del post, gli operatori di The Mask hanno chiuso i battenti per 4 ore. Il \u201csinkholing\u201d \u00e8 quella tecnica di rerouting che ha permesso ai ricercatori di ottenere con forza il controllo sulla botnet o infrastruttura comunicativa malware, e redirezionare il traffico lontano dal server dannoso, centro operativo della campagna.<\/p>\n<p>Ad ogni modo Raiu ha affermato che gli hacker, se volessero, potrebbero invertire l\u2019operazione e ritornare sui propri passi molto velocemente e senza troppe difficolt\u00e0.<\/p>\n<p><a href=\"https:\/\/threatpost.com\/new-mask-apt-campaign-called-most-sophisticated-yet\/104148\" target=\"_blank\" rel=\"noopener nofollow\">La campagna \u00e8 degna di nota<\/a> per diverse ragioni. La prima: non sembra avere nessuna connessione con la Cina, paese da cui provengono in genere la maggior parte di questi attacchi. Inoltre, \u00e8 interessante perch\u00e9 gli autori della campagna sembrano essere ispanofoni, il che rappresenta certamente una novit\u00e0 \u2013 ma solo fino ad un certo punto, considerando che lo spagnolo \u00e8 secondo solo al cinese mandarino in quanto a numero di locutori, con circa 400 milioni di parlanti nel mondo. Gli obiettivi principali della campagna di Careto\/The Mask sono principalmente ispanofoni localizzati in pi\u00f9 di 30 paesi.<\/p>\n<p>Oltre a questo, il gruppo \u00e8 famoso per aver nel loro arsenale almeno un zero-day e versioni del malware The Mask per computer con sistema operativo Mac OS X, Linux e forse persino per dispositivi mobili iOS e Android. Almeno una vittima in Marocco, afferma Raiu, aveva un dispositivo che stava comunicando con l\u2019infrastruttura C&amp;C su rete 3G e si spacciava per un dispositivo iOS.<\/p>\n<p>\u201cQuesti ragazzi sono pi\u00f9 abili degli ideatori della APT Flame per via del modo con cui gestiscono la propria infrastruttura\u201d afferma Raiu. \u201cLa velocit\u00e0 e la professionalit\u00e0 va ben oltre a quella di Flame o di qualsiasi altro gruppo hacker che abbiamo visto negli ultimi tempi\u201d.<\/p>\n<p>Per chi non lo sapesse, <a href=\"https:\/\/threatpost.com\/flame-one-year-later\/100782\" target=\"_blank\" rel=\"noopener nofollow\">Flame \u00e8 un\u2019altra campagna APT<\/a> scoperta dai ricercatori di Kaspersky Lab nel 2012. Ha colpito principalmente i paesi del Medio Oriente ed era molto sofisticata in quanto al modo in cui generava <a href=\"https:\/\/www.kaspersky.it\/blog\/certificati-digitali-e-https\/871\/\" target=\"_blank\" rel=\"noopener\">certificati certificati<\/a> digitali fraudolenti che sembravano essere emessi direttamente da Microsoft.<\/p>\n<p>The Mask attaccava le proprie vittime con <a href=\"https:\/\/www.kaspersky.com\/blog\/kis-shines-in-independent-anti-phishing-testing\/\" target=\"_blank\" rel=\"noopener nofollow\">email di spear-phishing<\/a> che portano a pagine web nocive che ospitano exploit. Questi siti vengono infatti caricati di exploit che sono accessibili solo attraverso link diretti che gli hacker inviano alle vittime.<\/p>\n<p>Raiu afferma che gli autori della campagna avevano diversi strumenti a loro disposizione, incluso impianti che li abilitavano a mantenere la persistenza sui computer delle vittime, intercettare tutte le comunicazioni TCP e UDP (due tipi di protocolli attraverso i quali si muovono le informazioni) in real time e rimanevano invisibili sui computer compromessi. Il team leader di GReAT afferma che tutte le comunicazioni tra le vittime e i server C&amp;C erano criptate.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un gruppo hacker sponsorizzato da governi sconosciuti ha colpito diversi enti governativi, uffici diplomatici e ambasciate, societ\u00e0 in ambito energetico, compagnie petrolifere e del gas per pi\u00f9 di 5 anni anni, in quello che i ricercatori di Kaspersky Lab hanno chiamato la pi\u00f9 sofisticata campagna APT mai vista.<\/p>\n","protected":false},"author":42,"featured_media":2666,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[592,919,920,918],"class_list":{"0":"post-2664","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apt","9":"tag-campagna-apt","10":"tag-careto","11":"tag-the-mask"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/the-mask-la-piu-sofisticata-campagna-apt-mai-vista\/2664\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2664","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=2664"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2664\/revisions"}],"predecessor-version":[{"id":27085,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2664\/revisions\/27085"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/2666"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=2664"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=2664"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=2664"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}