最高級網(wǎng)絡(luò)間諜“面具”的最新發(fā)現(xiàn)

日前，隨著知名信息安全廠商卡巴斯基實驗室在2014年安全分析師峰會上將一份爆炸性調(diào)查報告公之于眾，一個名為“面具”（The Mask，又稱為Careto）的全球網(wǎng)絡(luò)間諜攻擊行動進入了大眾的視野，在全球范圍內(nèi)引起了熱議。“面具”的發(fā)起者被指使用西班牙語，通過跨平臺惡意軟件工具對政府機構(gòu)、能源、石油和天然氣公司以及其他受害者發(fā)動攻擊。“面具”的發(fā)現(xiàn)者卡巴斯基實驗室，在過去的二十年間一直致力于保障全球網(wǎng)絡(luò)安全，在網(wǎng)絡(luò)攻擊活動的檢測與防御方面始終處于領(lǐng)先地位，曾率先發(fā)現(xiàn)“火焰”、“紅色十月”、NetTravel、Kimsuky等網(wǎng)絡(luò)間諜行動，并在極短的時間內(nèi)提供相應(yīng)的解決方案。

然而，與以往所發(fā)現(xiàn)的攻擊活動有所不同的是，“面具”被該實驗室認為是“迄今為止最高級的全球網(wǎng)絡(luò)間諜行動”，并稱“攻擊者所使用的工具極為復(fù)雜”。根據(jù)目前卡巴斯基實驗室的發(fā)現(xiàn)與分析，這些言論有理有據(jù)，絕非危言聳聽?！懊婢摺本哂幸韵绿攸c：

隱匿時間之久

“面具”攻擊行動由使用西班牙語的攻擊者所展開，這本身在APT攻擊中已屬罕見。此外，有些Careto樣本編譯于2007年。換言之，該攻擊至少從2007年就已經(jīng)開始，并一直持續(xù)到2014年1月。

董事會主席兼CEO尤金·卡巴斯基在其推特上這樣寫道，“在卡巴斯基實驗室公布了‘面具’相關(guān)信息的四個小時后，該攻擊行動就停止了?！?/p>

疑有政府撐腰

根據(jù)卡巴斯基實驗室目前掌握的信息，卡巴斯基實驗室全球研究和分析團隊（GReAT）總監(jiān)Costin Raiu表示，“多種原因讓我們覺得這次攻擊行動是一次由政府和國家資助的攻擊行動。首先，我們觀察到這種攻擊背后的集團執(zhí)行攻擊步驟的專業(yè)程度非常高。包括基礎(chǔ)設(shè)施的管理、攻擊行動的終止、以及采用訪問規(guī)則而不是刪除日志文件來避免其他用戶發(fā)現(xiàn)攻擊。結(jié)合上述種種表現(xiàn)，使得這次高級可持續(xù)性攻擊（APT）在復(fù)雜性方面遠超過Duqu攻擊，令其成為迄今為止最為高級和復(fù)雜的威脅，這種水平的安全操作對于網(wǎng)絡(luò)犯罪集團來說是不正常的”。

入侵范圍之廣

這樣一個高水平的攻擊行動在過去的7年時間里究竟在全球范圍內(nèi)造成了多大規(guī)模的影響呢？

根據(jù)卡巴斯基實驗室發(fā)布的一組數(shù)據(jù)，我們可以找到答案。在超過1000個IP中，卡巴斯基實驗室發(fā)現(xiàn)超過380個不同的受害者。此外，還發(fā)現(xiàn)這一針對性攻擊的受害者遍布全球31個國家，包括：阿爾及利亞、阿根廷、比利時、玻利維亞、巴西、中國、哥倫比亞、哥斯達黎加、古巴、埃及、法國、德國、直布羅陀、瓜地馬拉、伊朗、伊拉克、利比亞、馬來西亞、墨西哥、摩洛哥、挪威、巴基斯坦、波蘭、南非、西班牙、瑞士、突尼斯、土耳其、英國、美國和委內(nèi)瑞拉。其中，來自摩洛哥、巴西、英國等三個國家的受害者數(shù)量居于榜首。

這次攻擊行動的主要目標(biāo)是政府機構(gòu)、外交機構(gòu)和大使館、能源、石油和天然氣公司、研究機構(gòu)以及活躍人士。

攻擊者的主要目的是從受感染系統(tǒng)收集敏感數(shù)據(jù)。這些數(shù)據(jù)不僅僅限于公司文檔，還包括加密密鑰、VPN配置、SSH密匙（做為SSH服務(wù)器識別用戶的憑證）和RDP文件（遠程桌面客戶端使用其自動連接專門的計算機）。

后果非常嚴重

據(jù)悉，攻擊者使用的工具的復(fù)雜性和通用性使得這次網(wǎng)絡(luò)間諜攻擊行動非常特殊。包括使用高端的漏洞利用程序、極度復(fù)雜的惡意軟件、rootkit、bootkit功能以及Mac OS X和Linux版本惡意軟件，甚至包含安卓和iOS版本惡意軟件。此外，“面具”還會針對卡巴斯基實驗室產(chǎn)品進行定制化攻擊。

對受害者來說，感染Careto惡意軟件是一場災(zāi)難。Careto會攔截所有通訊渠道，從受害者計算機上收集重要的信息。對該惡意軟件進行檢測非常困難，因為其具有隱蔽的rootkit功能以及額外的網(wǎng)絡(luò)間諜模塊。

根據(jù)卡巴斯基實驗室的分析報告，“面具”攻擊行動依賴于魚叉式釣魚攻擊郵件，其包含指向惡意網(wǎng)站的鏈接。惡意網(wǎng)站包含多種漏洞利用程序，能根據(jù)不同的系統(tǒng)配置感染訪問者。一旦成功感染，惡意網(wǎng)站會將用戶重定向到郵件中所指的良性網(wǎng)站，如YouTube中的一段影片或某個新聞門戶網(wǎng)站。

卡巴斯基實驗室的產(chǎn)品目前已經(jīng)能夠檢測和清除所有已知版本的“面具”/Careto惡意軟件。