Careto – Kaspersky ujawnia niezwykle zaawansowany (i hiszpańskojęzyczny) APT

Advanced Persistent Threat – termin uknuty przez analityków sił powietrznych Stanów Zjednoczonych opisujące ataki mające długofalowe założenia, korzystające z zaawansowanych technik i skierowane przeciwko konkretnym celom. Można by wręcz stwierdzić, że są przeciwieństwem ‘hacks of opportunity’ kiedy to napastnicy wykorzystują odkrytą lukę w bezpieczeństwie. W przypadku APT najpierw określany jest cel ataku a dopiero potem wyszukiwane są słabości które umożliwią konkretny rodzaj ataku. Takie działania kojarzone są najczęściej z akcjami sponsorowanymi przez rządy ze względu na konieczność zaangażowania znacznych środków. Najsłynniejszym przykładem pozostaje zapewne Stuxnet – efekt działań rządów USA i Izraela odpowiedzialny za zniszczenie irańskich wirówek służących do wzbogacania uranu.

Atak Careto opierał się w dużej mierze na spear phishingu – spreparowane emaile rozsyłane przez malware miały skłonić ofiarę do odwiedzenia zarażonej strony. W zależności od wykrytej konfiguracji stosował odpowiednie exploity. Co interesujące adresy były usuwane na bieżąco, więc nie udało się pozyskać wszystkich wersji exploitów użytych podczas ataku. Korzystały one jednak głównie z apletów Java i wtyczek Flash Player. Exploit wykorzystujący Flash Playera był przeznaczony dla konkretnej, nieaktualnej już wersji 10.3.x co oznacza, że napastnicy wykorzystywali te lukę niedługo po jej odkryciu (została odkryta w 2012 roku – wpis z NVD). Ostateczny cel działań Careto pozostaje nieznany. Znany jest jednak szeroki zakres celów – zarówno jeżeli chodzi o ilość zaatakowanych maszyn , rodzaj zbieranych danych jak i branże dotknięte atakiem. Według raportu Kaspersky Lab, Careto zaatakował instytucje rządowe, placówki dyplomatyczne, przedsiębiorstwa energetyczne i badawcze, a także firmy private equity i grupy aktywistyczne. Równie rozległy jest zakres geograficzny ataku – obejmował on ponad 1000 komputerów w 31 państwach, a większość celów znajdowała się na terytorium Hiszpanii, Maroka, Wenezueli i Francji. Wśród ofiar znalazły się również 2 cele na terytorium Polski. Najbardziej niepokojący (i być może imponujący) jest jednak zakres danych jakie były gromadzone – Careto przychwytywało ruch sieciowy, wciśnięcia klawiszy, rozmowy poprzez Skype’a, ruch w sieci WiFi, klucze PGP, wszystkie informacje z urządzeń Nokii, a wykonywał zrzuty ekranu i monitorował wszelkie operacje na plikach. Co więcej analizował pliki zgromadzone na maszynie i pozyskiwał z nich klucze kryptograficzne, klucze SSH, pliki RDP (konfiguracji zdalnego pulpitu), oraz konfiguracje VPN. Równie imponujący jest zakres systemów które zostały zaatakowane. Potwierdzone zostały już rootkity i bootkity dla Windowsa (zarówno 32 jak i 64 bitowego) oraz Mac OS X, natomiast ślady w oprogramowaniu wskazują na istnienie wersji dla Linux, iOS i Androida. Careto jest aktywne już od 2007 roku.

Continue reading “Careto – Kaspersky ujawnia niezwykle zaawansowany (i hiszpańskojęzyczny) APT”