Careto, eller The Mask, er navnet på en omfattende IT-spionasjekampanje som Kaspersky Lab relativt nylig har oppdaget. Men kampanjen har pågått i minst sju år. (Bilde: Kaspersky Lab)

Superavansert skadevareliga avslørt

«The Mask» har spionert på myndigheter og industri i minst sju år.

Under selskapets Security Analyst Summit presenterte Kaspersky Lab i går en rapport om det som av enkelte omtales som den mest avanserte skadevare- og IT-spionasjekampanjen til nå. Kampanjen skal i alle fall ha pågått siden 2007 og omfatter bruk av en rekke ulike former for skadevare. Kampanjen kalles av Kaspersky Lab for «The Mask» fordi ordet det spanske slangordet Careto er brukt i flere av skadevaremodulene. Ordet kan bety «maske» eller «stygt ansikt».

Mye tyder på at personene bak kampanjen er spansktalende, og Kaspersky Lab mener at kampanjen er så sofistikert at det trolig er en nasjon som står bak. Det skal også være andre tegn som tyder på dette.

The Mask ser ut til å rette sine angrep mot et relativt lite, men høyt profilerte mål. Ifølge Kaspersky Lab er det blitt observert mer enn 380 unike ofre i 31 land til nå. Dette omfatter blant annet offentlige institusjoner, diplomatvesen og ambassader, energi-, olje- og gass-sektorene, forskningsinstitusjoner, privateide finansselskaper og aktivister.

Ordet Careto er brukt i flere av skadevaremodulene som Kaspersky Lab omtaler.
Ordet Careto er brukt i flere av skadevaremodulene som Kaspersky Lab omtaler. Bilde: Kaspersky Lab

Skadevaren består av en omfattende verktøykasse med blant annet rootkit og bootkit for blant annet 32- og 64-bits Windows, OS X, visse Linux-utgaver og muligens bakdører for både Android og iOS.

Når The Mask har infisert et system, vil det ifølge Kaspersky Lab kunne avskjære nettverkstrafikk, tastetrykk, Skype-samtaler og PGP-nøkler. Det skal kunne lagre bilder av alt skjerminnhold og overvåke alle filoperasjoner.

Det nevnes forøvrig også all informasjon på Nokia-enheter vil kunne avlyttes. Men tilsynelatende gjelder dette bare via Nokias eldre OVI/PC Suite-produkter.

Blant den informasjonen man har observert at har blitt samlet inn, er krypteringsnøkler, VPN-konfigurasjoner, SSH-nøkler (Secure Shell) og RDP-filer (Remote Desktop Protocol).

Skadevaren skal også ha utvidelser som Kaspersky Lab ennå ikke har kunnet identifisere. Selskapet mistenker dog at dette kan være relatert til krypteringsverktøy som benyttes av myndigheter og militæret.

Phishing og vedlegg

Infeksjonen ser ut til å skje ved hjelp av e-post med lenker som lokker ofrene til ondsinnede websider som ofte kan være etterligninger av kjente nettsteder. Der forsøkes det å utnytte noen av et stort utvalg av potensielle sårbarheter i ofrenes programvare til å installere skadevaren. Kaspersky Lab har i alle fall observert angrep via Java, Flash og ondsinnede plugins til både Firefox og Chrome.

Symantec, som også har studert The Mask, skriver derimot om ondsinnede e-postvedlegg i Word- eller PDF-format.

Mange av de ondsinnede nettstedene har spansk språkdrakt. Ifølge de loggene Kaspersky Lab har fått tilgang til fra C&C-servere (Command-and-Control) er mange av ofrene i nettopp spansktalende land. Blant landene med fleste ofre for The Mask, finner man Marokko, Spania, Cuba og Venezuela. Men også Brasil, Sveits, Storbritannia og Frankrike ligger høyt opp i noen av datasettene. Ingen nordiske land er nevnt.*

Profesjonelt

Det er ingenting i rapporten til Kaspersky Lab som tyder på at The Mask/Careto på noe vis har blitt stoppet. Mange av sporene man har funnet er ufullstendige, og det bemerkes i rapporten at operasjonen drives med svært høy grad av profesjonalitet og selvtillit. Blant annet slettes loggene på serverne svært grundig, og det benyttes avanserte etterligner av nettaviser som The Guardian og The Washington Post for å narre ofrene. Det trekkes også fram som noe spesielt at det ikke bare er Windows-systemer som er berørt. Dessuten er det svært uvanlig med spanske kommentarer i skadevaren. Kinesisk er langt mer vanlig.

Oppdatert kl. 15.15: Norge er likevel ikke blant de berørte landene, slik Kaspersky Lab jar oppgitt i en pressemelding. Dette har digi.no fått bekreftet i en e-post fra det russiske sikkerhetsselskapet.

    Les også:

Til toppen