周冰 季建业日前,随着卡巴斯基实验室在2014年安全分析师峰会上将一份爆炸性调查报告公之于众,一个名为“面具”(TheMask,又称为Careto)的全球网络间谍行动进入了大众的视野,在全球范围内引起了热议。“面具”的发起者被用西班牙语,通过跨平台恶意软件工具对机构、能源、石油和天然气公司以及其他者发动。“面具”的发现者卡巴斯基实验室,在过去的二十年间一直致力于保障全球网络安全,在网络活动的检测与防御方面始终处于领先地位,曾率先发现“火焰”、“红色十月”、NetTravel、Kimsuky等网络间谍行动,并在极短的时间内提供相应的解决方案。
然而,与以往所发现的活动有所不同的是,“面具”被该实验室认为是“迄今为止最高级的全球网络间谍行动”,并称“者所使用的工具极为复杂”。根据目前卡巴斯基实验室的发现与分析,这些言论,绝非。“面具”具有以下特点:
“面具”行动由使用西班牙语的者所展开,这本身在APT中已属罕见。此外,有些Careto样本编译于2007年。换言之,该至少从2007年就已经开始,并一直持续到2014年1月。
董事会兼CEO尤金·卡巴斯基在其推特上这样写道,“在卡巴斯基实验室公布了‘面具’相关信息的四个小时后,该行动就停止了。”
根据卡巴斯基实验室发布的一组数据,我们可以找到答案。在超过1000个IP中,卡巴斯基实验室发现超过380个不同的者。此外,还发现这一针对性的者遍布全球31个国家,包括:阿尔及利亚、阿根廷、比利时、玻利维亚、巴西、中国、哥伦比亚、哥斯达黎加、古巴、埃及、法国、、直布罗陀、瓜地马拉、伊朗、伊拉克、利比亚、马来西亚、墨西哥、摩洛哥、挪威、巴基斯坦、波兰、南非、西班牙、、突尼斯、土耳其、英国、美国和委内瑞拉。其中,来自摩洛哥、巴西、英国等三个国家的者数量居于榜首。
这次行动的主要目标是机构、外交机构和大、能源、石油和天然气公司、研究机构以及活跃人士。
者的主要目的是从受感染系统收集数据。这些数据不仅仅限于公司文档,还包括加密密钥、VPN配置、SSH密匙(做为SSH服务器识别用户的凭证)和RDP文件(远程桌面客户端使用其自动连接专门的计算机)。
据悉,者使用的工具的复杂性和通用性使得这次网络间谍行动非常特殊。包括使用高端的漏洞利用程序、极度复杂的恶意软件、rootkit、bootkit功能以及MacOSX和Linux版本恶意软件,甚至包含和iOS版本恶意软件。此外,“面具”还会针对卡巴斯基实验室产品进行定制化。
根据卡巴斯基实验室的分析报告,“面具”行动依赖于鱼叉式钓鱼邮件,其中包含指向恶意网站的链接。恶意网站包含多种漏洞利用程序,能够根据不同的系统配置感染访问者。一旦成功感染,恶意网站会将用户重定向到邮件中所指的良性网站,如YouTube中的一段影片或某个新闻门户网站。