"The Mask": jedna z najbardziej zaawansowanych, operacji cyberszpiegowskich w historii

Źródło: WP.PL | 2014-02-11 (10:56) |

Eksperci z Kaspersky Lab wykryli "The Mask" (inna nazwa to Careto) - zaawansowane szkodliwe oprogramowanie, zaangażowane w globalne operacje cyberszpiegowskie, które istnieje co najmniej od 2007 roku. The Mask wyróżnia się złożonością zestawu narzędzi wykorzystywanych przez atakujących. Obejmuje niezwykle wyrafinowane szkodliwe oprogramowanie, rootkita, bootkita, wersje dla systemu OS X oraz Linux i prawdopodobnie wersje dla Androida oraz iOS (iPad/iPhone). Ofiary operacji "The Mask" zlokalizowano w państwach na cały świecie, w tym w Polsce.

Na celowniku "Maski" znajdują się przede wszystkim instytucje rządowe, placówki dyplomatyczne i ambasady, firmy z branży energetycznej, organizacje badawcze oraz aktywiści. Ofiary tego ataku ukierunkowanego zostały zidentyfikowane w 31 firmach zlokalizowanych na całym świecie: od Bliskiego Wschodu i Europy po Afrykę i obie Ameryki.

Głównym celem osób atakujących jest gromadzenie poufnych danych z zainfekowanych systemów. Obejmują one oficjalne dokumenty, jak również różne klucze szyfrowania, konfiguracje VPN, klucze SSH (służące do identyfikacji użytkownika na serwerze SSH) oraz pliki RDP (wykorzystywane podczas korzystania ze zdalnego pulpitu).

- Kilka rzeczy sugeruje, że możemy mieć do czynienia z kolejną kampanią sponsorowaną przez państwo. Po pierwsze, procedury operacyjne stojącej za tym atakiem grupy cechuje bardzo wysoki poziom profesjonalizmu. Od zarządzania infrastrukturą, zamykania operacji, ukrywania się po reguły dostępu i czyszczenie zamiast usuwania plików dziennika zdarzeń. To wszystko sprawia, że omawiany atak wyprzedza Duqu pod względem wyrafinowania, stanowiąc obecnie jedno z najbardziej zaawansowanych znanych zagrożeń - powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (ang. GReAT) z Kaspersky Lab. - Ten poziom bezpieczeństwa operacyjnego nie jest zwykle spotykany w przypadku grup cybernetycznych - dodał ekspert.

Badacze wpadli na trop Careto w zeszłym roku, gdy zaobserwowali próby wykorzystania załatanej 5 lat temu luki w zabezpieczeniach produktów firmy. Exploit zapewniał szkodliwemu oprogramowaniu możliwość uniknięcia wykrycia. Naturalnie, sytuacja ta wzbudziła zainteresowanie ekspertów i w ten sposób rozpoczęto dochodzenie.

Infekcja Careto może mieć katastrofalne skutki dla ofiar. Wirus przechwytuje wszystkie kanały komunikacji i zbiera najistotniejsze informacje z maszyny ofiary. Z uwagi na funkcje ukrywania się, wbudowane możliwości i dodatkowe moduły cyberszpiegowskie wykrycie tego szkodnika jest niezwykle trudne.

Główne ustalenia z dochodzenia ekspertów:

• Autorzy wydają się posługiwać hiszpańskim jak swoim językiem ojczystym, co stanowi rzadkość w przypadku tego typu ataków.

• Do stycznia 2014 r. kampania prowadzona była już przez co najmniej pięć lat (niektóre próbki Careto zostały skompilowane w 2007 r.). Podczas dochodzenia prowadzonego przez Kaspersky Lab zamknięto serwery kontroli (C&C) wykorzystywane przez atakujących.

• Doliczono się ponad 380 unikatowych ofiar. Infekcje zostały zidentyfikowane w: Algierii, Argentynie, Belgii, Boliwii, Brazylii, Chinach, Kolumbii, na Kostaryce, Kubie, w Egipcie, we Francji, w Niemczech, na Gibraltarze, w Gwatemali, Iranie, Iraku, Libii, Malezji, Meksyku, Maroku, Norwegii, Pakistanie, Polsce, RPA, Hiszpanii, Szwajcarii, Tunezji, Turcji, Wielkiej Brytanii, Stanach Zjednoczonych oraz Wenezueli.

• O specjalnym charakterze omawianej operacji cyberszpiegowskiej świadczy złożoność i uniwersalność zestawu narzędzi, jakimi posługiwały się osoby atakujące. Należy tu wymienić wykorzystywanie zaawansowanych exploitów, niezwykle wyrafinowane szkodliwe oprogramowanie, rootkita, bootkita, wersje dla systemów OS X oraz Linux i prawdopodobnie wersje dla Androida oraz iPad/iPhone (iOS). W ramach operacji "The Mask" przeprowadzano również ukierunkowany atak na produkty Kaspersky.

• Pod względem wektorów ataku wykorzystano przynajmniej jeden exploit dla Adobe Flash Playera (CVE-2012-0773), który powstał dla tej aplikacji w wersjach starszych niż 10.3 i 11.2. Exploit ten został pierwotnie wykryty przez VUPEN i wykorzystany w 2012 r. do obejścia piaskownicy w przeglądarce Google Chrome w celu wygrania konkurencji Pwn2Own (CanSecWest).

Metody infekcji i funkcjonalność "Maski"

Jak wynika z raportu, w kampanii "The Mask" wykorzystywane są ukierunkowane e-maile phishingowe zawierające odsyłacze do szkodliwych stron internetowych. Zainfekowana witryna zawiera różne exploity, których celem jest zainfekowanie osoby odwiedzającej w zależności od konfiguracji systemu. Po skutecznej infekcji szkodliwa strona przekierowuje użytkownika do nieszkodliwego zasobu wskazanego w e-mailu, np. filmu w serwisie YouTube lub portalu informacyjnego.

Należy podkreślić, że strony zawierające exploity nie infekują automatycznie osób, które je odwiedzają; zamiast tego, atakujący umieszczają exploity w specjalnych folderach na stronie internetowej, do których bezpośrednie odnośniki znajdują się tylko w szkodliwych wiadomościach e-mail. Niekiedy agresorzy wykorzystują subdomeny na stronach zawierających exploity, aby dodać im większej wiarygodności. Subdomeny te przypominają podsekcje najpopularniejszych gazet w Hiszpanii, jak również kilku międzynarodowych tytułów, takich jak "The Guardian" i "Washington Post".

Omawiany szkodliwy program przechwytuje wszystkie kanały komunikacji i gromadzi najważniejsze informacje z zainfekowanego systemu. Jego wykrycie jest niezwykle trudne ze względu na zaawansowane funkcje ukrywania się. "Maska" to wysoce modułowy system; obsługuje wtyczki i pliki konfiguracyjne, które umożliwiają wykonanie wielu funkcji. Niezależnie od wbudowanej funkcjonalności operatorzy Careto mogli również udostępnić dodatkowe moduły mogące wykonać dowolne szkodliwe zadanie.

Ciemna strona sieci. Google tu nawet nie zagląda

źródło: MagazynT3.pl | dodano 2014-02-10

Google obejmuje swoim działaniem zaledwie 0,03 proc. całego internetu. Reszta to podziemny wirtualny świat, w którym funkcjonują handlarze bronią, narkotykami i zabójcy na zlecenie.

Po chwili internetowych zakupów, w koszyku znajduje się gram czystej peruwiańskiej kokainy, 50 tabletek ecstasy z wytłoczonymi wizerunkami postaci z gier Nintendo, spreparowane prawo jazdy ważne na terenie całej Europy, dysk 1 TB z ponad 800 filmami, fałszywy belgijski paszport, skradziony login i hasło do konta PayPal oraz zestaw szczegółowych instrukcji pokazujących jak wyhodować sobie w domu grzyby halucynogenne. Na pierwszy rzut oka, lista tych produktów prezentuje się wprost niewiarygodnie i od razu można zacząć zastanawiać się, gdzie można zrobić tego typu zakupy. Wbrew pozorom znalezienie takich "sklepów" nie jest trudne - sieciowy czarny rynek przez długi czas istniał tuż pod naszym nosem, a jego użytkownicy w dziecinnie prosty sposób wchodzili w posiadanie rzeczy, za które mogliby otrzymać niejeden wieloletni wyrok więzienia.

Ciemna strona sieci to wirtualne podziemie, gdzie nie sięgają indeksujące macki Google. Aby uzyskać do niego dostęp, trzeba skorzystać ze specjalnej przeglądarki, która nie jest podatna nawet na działania pracowników amerykańskiej agencji NSA. Znaleźć tu można dosłownie wszystko, oczywiście po uiszczeniu odpowiedniej opłaty. Nagrania z ukrytych kamer czy maksymalnie "hardkorowe" materiały dla seksualnych fetyszystów z udziałem tygrysów to tylko nieliczne przykłady tego, co kryje się w nieznanych przeciętnemu osobnikowi głębinach internetu.

Wirtualne podziemie stworzone zostało w sposób, który osobom postronnym zwyczajnie uniemożliwia dostęp do materiałów obecnych w jego zasobach i dzięki któremu strony zawierające zakazane treści są w stanie skutecznie unikać indeksowania. Jednym z najpopularniejszych oprogramowań służących do niemalże anonimowego poruszania się w sieci jest The Onion Router, znane również pod nazwą Tor. Z jego poziomu można przeglądać internet dostępny np. z poziomu Firefoxa, ale w odróżnieniu od oprogramowania Mozilli, Tor pozwala na dostęp do serwisów, których nie sposób znaleźć korzystając z klasycznych przeglądarek.

Przekraczanie cienkiej linii

Popularność Tor wzrosła wręcz dramatycznie - tylko w sierpniu minionego roku liczba pobrań tego oprogramowania wzrosła o 100 procent. Skąd takie zainteresowanie? Niebagatelną role odegrały w tym bez wątpienia tegoroczne informacje mówiące o tym, że amerykańskie i brytyjskie agencje rządowe szpiegowały użytkowników sieci, co podniosło obawy internautów o bezpieczeństwo ich prywatności. Jeśli weźmie się jeszcze pod uwagę fakt, że żyjemy w świecie, gdzie smartfony z GPS-em są w stanie rejestrować naszą dokładną lokalizację, coraz częściej jesteśmy podglądani w sieci, a do kamerek internetowych (a nawet konsolowych przystawek Kinect) mamy coraz mniejsze zaufanie, to anonimowość oferowana przez Tor wydaje się być towarem niezwykle pożądanym. W sieci tej adres IP oraz historia przeglądania stron są w zasadzie nienamierzalne, a z jej usług coraz częściej korzystają nie tylko osoby mające coś na sumieniu, ale także zwyczajni internauci, ceniący sobie poczucie prywatności i brak jakiejkolwiek inwigilacji.

Jedną z popularniejszych stron jest Onion Theories, będąca miejscem, gdzie anonimowi użytkownicy dyskutują i zamieszczają różnorakie materiały na temat wielu kontrowersyjnych tematów, takich jak działalność rządowych agencji czy chociażby danych potwierdzających istnienie UFO. Innym serwisem jest ELIZA, która zainteresowanym osobom oferuje solidną dawkę w pełni darmowej psychoterapii (inna sprawa, że jej skutki mogą być opłakane). Oczywistym jest, że duży poziom prywatności przyciąga i będzie przyciągał również osoby zajmujące się różnego rodzaju nielegalnymi sprawkami. W ciemnej stronie sieci bez trudu można znaleźć zabójcę na zlecenie, który za przykładową opłatą wynoszącą w przeliczeniu 12 000 dolarów podejmie się eliminacji polityka lub niewiernego małżonka. Do prowadzenia jednego z serwisów przyznaje się grupa lekarzy-degeneratów, którzy za pieniądze są w stanie przeprowadzać na uprowadzonych bezdomnych wybrane przez klienta eksperymenty (np. sprawdzać na nich działanie nowych narkotyków).

Trudno określić tę sieć mianem pełnoprawnego rynku usług. Większość usług ma nie w pełni legalny charakter, a do płatności wykorzystamy wirtualny środek płatniczy w postaci Bitcoinów, które to są na dobrą sprawę nienamierzalne, a płatności z ich użyciem gwarantują niemalże pełną anonimowość. Jedna rzecz jest jednak pewna - tutaj, w mrocznych zaułkach internetu wychodzi na jaw zdeprawowanie ludzi, przechodzące wszelką wyobraźnię.

Darkweb
Najbardziej znanym darkwebowym serwisem jest Silk Road (z ang. Jedwabny Szlak). Spokojnie można określić go mianem odpowiednika Amazon, z jedną tylko różnicą - zamiast ogólnodostępnych dóbr klienci mają tutaj okazję do zakupu lub sprzedaży narkotyków, broni, fałszywych pieniędzy czy danych skradzionych kart kredytowych. Silk Road zamknięto 2 października minionego roku w skutek prowadzonego przez FBI dochodzenia, które zakończyło się także aresztowaniem Rossa Williama Ulbrichta, stojącego za powstaniem tego serwisu. Ulbricht, ukrywający się pod sieciowym pseudonimem Dread Pirate Roberts, oskarżony został o przemyt narkotyków i wynajęcie zabójcy, mającego "uciszyć" jednego z użytkowników strony, który groził wyjawieniem informacji o charakterze i użytkownikach Silk Road. Ulbricht zaprzeczył wszystkim tym zarzutom, ale FBI i tak odkryło istnienie jego bitcoinowej fortuny (równej w przeliczeniu ok. 20 mln dolarów), jaką zgromadził pośrednicząc w różnych nielegalnych transakcjach. Według FBI, w okresie od lutego 2011 do lipca 2013, miało ich miejsce aż 1,2 mln - to dobitnie pokazuje, jaką popularnością cieszył się Jedwabny Szlak.

Zaledwie w 4 tygodnie po zamknięciu strony, w sieci pojawiła się jej następczyni o nazwie Silk Road 2.0. Pomimo obaw o ochronę prywatności i strachu przed inwigilacją ze strony FBI (która notabene byłaby nielegalna), nowy serwis nieustannie poszerza bazę swych użytkowników, a jego popularność z miesiąca na miesiąc jest coraz większa.

Poszukiwania

W odróżnieniu od stron w "widzialnym" internecie, adresy darkwebowych portali posiadają skomplikowane nazwy składające się z niemal niemożliwych do zapamiętania ciągów liter i cyfr. Najłatwiejszym sposobem znalezienia serwisów sieci Tor jest skorzystanie ze stron Wiki, na których można znaleźć informacje o adresach stron poświęconych różnym kategoriom tematycznym (np. narkotykom, broni, seksowi). Raczej na pewno nie da rady znaleźć tam żadnych bezpośrednich linków, ale śledząc uważnie aktualizacje, z czasem można dojść do tego, od jakich stron zacząć przygodę po mrocznej stronie sieci.

Silk Road 2.0 jest relatywnie łatwa do wyśledzenia. Po wejściu na stronę użytkownik proszony jest o podanie swojego loginu, hasła oraz 4-cyfrowego numeru pozwalającego na aktywację konta na portalu. Nie ma tu żadnej weryfikacji e-mailem i jeśli tylko nick nie jest zajęty przez kogoś innego, proces rejestracji zostaje pomyślnie zakończony. Po jego zakończeniu pozostaje tylko przeczytać powitalną informację od właściciela strony, który przyjął ten sam pseudonim (Dread Pirate Roberts), z jakiego korzystał aresztowany wcześniej Ulbricht.

Czytamy w niej m.in. "2,5 roku zajęło FBI dokonanie tego, co zostało zrobione z poprzednim serwisem. Podzielić, podbić i wyeliminować - to była ich strategia, która pozwoliła im uciszyć nas na zaledwie 4 tygodnie. W miarę jak nasza społeczność podniosła się po tym ciosie, staliśmy się o wiele silniejsi i nigdy nie zapomnimy o tym, że choć mogą (FBI) nam zabrać nasze aktywa, to nie są w stanie odebrać nam naszej idei i ducha. Nie pozwolimy im na to". Przekaz tej wiadomości jest w pełni zrozumiały - Silk Road 2.0 nie będzie podlegać jakiejkolwiek jurysdykcji.

Nawigacja

Poruszanie się po serwisie jest proste. Na pasku widocznym z boku ekranu widnieją posegregowane alfabetycznie kategorie produktów przeznaczonych na sprzedaż. Dział narkotyków posiada swoją oddzielną przestrzeń na stronie - po wejściu do niego oczom ukazuje się ogromna liczba różnych używek (obecnie ponad 3000 rodzajów), począwszy od konopi indyjskich, przez białe halucynogenne proszki, a skończywszy na tajemniczych brązowych tabletkach o nieopisanych właściwościach odurzających. Wiele zdjęć zawiera w swym kadrze wykonane odręcznie opisy produktów, co ma potwierdzać autentyczność sprzedających je osób. W obliczu tak łatwej dostępności zakazanych używek, nietrudno zapomnieć jednak o potencjalnym ryzyku. Dla przykładu, samo posiadanie ogólnodostępnej w serwisie Dimetylotryptaminy (znana lepiej jako DMT) w wielu krajach zagrożone jest karą wieloletniego więzienia, nie mówiąc już nawet o wyrokach, jakie zasądzane są za sprzedaż tego specyfiku.

Silk Road 2.0 jest miejscem gdzie można kupić narkotyki, ale również umożliwia ono pozyskanie przepisów odnośnie ich wytwarzania. Poradnik poświęcony tworzeniu amfetaminy, uwzględniający szczegóły opis aparatury i metod produkcji narkotyku, kosztuje 0,13 Bitcoina (ok. 320 PLN). Są tu nawet dostępne tabletkarki (3,25 Bitcoina, ok. 8000 PLN), z użyciem których można rozpocząć produkcję swoich własnych pigułek.

Poza narkotykami, sprzedający oferują całą masę fałszywych towarów, będących niemal idealnymi kopiami oryginalnych produktów. Imitacje zegarków Rolex, markowych perfum, podrobione paszporty, a nawet "usługi" w postaci kupna lajków i osób śledzących profile społecznościowe czy zakupu dożywotniego konta na Spotify - jeśli tylko dysponuje się odpowiednim zasobem Bitcoinów, można nabyć tutaj niemal wszystko. Pomimo bogatej oferty serwisu, w świadomości klienta nieustannie muszą jednak krążyć dwa pytania: "Czy kiedykolwiek ujrzę zamówiony towar?" i "Czy nie zostanę nakryty przez policję?".

Ochrona

Ian Reynolds jest jednym z wiodących specjalistów do spraw internetowych zabezpieczeń. Niedawno został zatrudniony przez urzędników z Pałacu Buckingham w celu przetestowania poziomu bezpieczeństwa tamtejszej infrastruktury sieciowej. Gość ten na co dzień zajmuje się sprawdzaniem komercyjnych systemów informatycznych/elektronicznych, odnośnie ich podatności na działanie różnego rodzaju cyberprzestępców.

Przykładowo, potrafi wejść do zatrudniającej go instytucji w przebraniu kuriera niosącego wielki pakunek, licząc na to, że ktoś z obsługi otworzy mu drzwi i nieświadomie pomoże ominąć ogólne zabezpieczenia stosowane w budynku. Kiedy jest już w środku, szuka jakiegoś nieużywanego pomieszczenia i podejmuje próbę włamania do infrastruktury sieciowej danej firmy, sprawdzając poziom jej bezpieczeństwa na tego typu ataki. Ten właśnie facet postanowił wypowiedzieć się o tym, jak zabezpieczony jest serwis Silk Road 2.0.

"Sieci pokroju Tor zapewniają użytkownikom znaczący poziom anonimowości" - mówi Reynolds. "Nie mam jednak złudzeń, że dostawcy internetu oraz rządowe agencje są w stanie zdobyć chociaż podstawowe informacje o komputerach komunikujących się w obrębie takiej sieci". Według Reynoldsa, te szczątkowe dane mogą być przyporządkowane do historii przeglądania z poziomu zwykłych wyszukiwarek, a jeśli dodatkowo zostałby złamany sposób szyfrowania, to bez problemu dałoby to władzom możliwość stworzenia dokładnego profilu użytkownika siedzącego po drugiej stronie łącza.
Oryginalny Silk Road szczycił się tym, że aż 97 procent zawieranych transakcji kończyło się sukcesem, zarówno ze strony sprzedającego, jak i kupującego. Nowy serwis z racji dość krótkiego "stażu" nie może pochwalić się takimi wynikami i nieustannie zmaga się z kwestią zaufania użytkowników. "Warto zwrócić też uwagę na fakt, że transakcje opłacane Bitcoinami są w pełni anonimowe. Zawsze jest więc możliwość, że kupujący nie otrzyma zamówionego towaru, a wobec braku jakichkolwiek dowodów zakupu nie będzie w stanie nikomu udowodnić, że padł ofiarą oszustwa". - wyjaśnia Reynolds.
Możliwe jest wyśledzenie tego, że w danym dniu z danego wirtualnego portfela przesłano określoną liczbę Bitcoinów, ale niemal niemożliwe jest zidentyfikowanie właściciela tej sieciowej waluty. Kupując nielegalne produkty przy użyciu Bitcoinów, ludzie świadomie zgadzają się na zaufanie przestępcom, których na dobrą sprawę nigdy nie da rady namierzyć. Co więcej, nie można również zapominać o ryzyku, że nabyty towar zostanie przechwycony przez służby celne, które mając docelowy adres przesyłki bez problemu zidentyfikują jej odbiorcę.

Idźmy głębiej
Potencjalne problemy - brak zaufania, możliwość trafienia za kraty - zmuszają niektórych sprzedających i kupujących do migracji w jeszcze bardziej zabezpieczone sieciowe środowiska, zwane Darknetami. Są to na dobrą sprawę niesamowicie chronione infrastruktury typu peer-to-peer, do których dostęp mają jedynie określone osoby, podlegające różnego rodzaju weryfikacji. Komputery użytkowników tych sieci komunikują się ze sobą z użyciem szyfrowanych tuneli VPN, zabezpieczających je przed inwigilacją ze strony rządowych agencji lub dostawców internetu.

Darknety mogą wydawać się lepiej zabezpieczonymi sieciami, ale korzystanie z nich może wiązać się z poważnym ryzykiem. Ich użytkownikami są członkowie kryminalnych gangów, pedofile oraz inni przedstawiciele mrocznej strony społeczeństwa, wobec czego perspektywa potencjalnego zasyfienia komputera wirusami wydaje się być tu naprawdę mało znaczącym problemem.

"Kiedy łączysz się z Darknetem, to automatycznie podłączasz swój komputer do prywatnej sieci, podobnej do infrastruktury LAN obecnej w twym domu lub miejscu pracy" - wyjaśnia Reynolds. "Szkodliwe oprogramowanie oraz hakerzy są w tej sieci na porządku dziennym, wobec czego korzystanie naraża cię na kradzież twoich danych, takich jak hasła i loginy do poczty lub usług wirtualnej bankowości".

Założyciele sieci Tor twierdzą, że ich dzieło istnieje po to, by chronić anonimowość oraz wolność. W rzeczywistości okazuje się jednak, że mroczna strona sieci to prawdziwy wirtualny Dziki Zachód. A co z osobami, które nie mają zamiaru korzystać z darkwebów i pragną jedynie sieciowej prywatności i bezpieczeństwa w trakcie codziennego surfowania? No cóż, takim ludziom Reynolds ma do powiedzenia jedno zdanie: "Nie korzystajcie w ogóle z internetu".