Video: NOT ENOUGH ITEMS 1.12.2 Майнкрафт - ПОЛНЫЙ ОБЗОР (Gruodis 2024)
„Kaspersky Lab“ tyrėjai atskleidė kibernetinio šnipinėjimo operaciją, nukreiptą prieš vyriausybes, energetikos, naftos ir dujų organizacijas visame pasaulyje, naudojant pažangiausias iki šiol matytas priemones. Bendrovė teigė, kad operacija turėjo visas reikšmes, kad tai buvo tautos valstybės išpuolis.
Pirmadienį „Kaspersky Lab“ pasaulinės tyrimų ir analizės grupės direktorius Costinas Raiu su komanda atskleidė „Kaukės“ detales, aprašydamas, kaip operacija naudojo „rootkit“, „bootkit“ ir kenkėjiškas programas, sukurtas „ „Windows“, „Mac OS X“ ir „Linux“. Galbūt net bus naudojamos „Android“ ir „iOS“ versijos naudojamos kenkėjiškos programos, teigė komanda. Pagal visus rodiklius „Kaukė“ yra elitinė tautos valstybės kampanija, kurios struktūra yra dar sudėtingesnė nei „Stuxnet“ siejama kampanija „Liepsna“.
"Tai yra vienas geriausių, ką mačiau. Anksčiau geriausia APT grupė buvo ta, kuri buvo už„ Flame “, tačiau dabar tai keičia mano nuomonę dėl to, kaip valdoma infrastruktūra ir kaip jie reaguoja į grėsmes, taip pat į greitą reakciją ir profesionalumą. “, - pasakojo Raiu. Kaukė yra „už liepsnos ir bet ko kito, ką mes iki šiol matėme“.
Operacija buvo nepastebėta maždaug penkerius metus ir paveikė 380 aukų apie daugiau nei 1000 tikslinių IP adresų, priklausančių vyriausybės subjektams, diplomatinėms įstaigoms ir ambasadoms, tyrimų institutams ir aktyvistams. Paveiktų šalių sąrašas yra ilgas, įskaitant Alžyrą, Argentiną, Belgiją, Boliviją, Braziliją, Kiniją, Kolumbiją, Kosta Riką, Kubą, Egiptą, Prancūziją, Vokietiją, Gibraltarą, Gvatemalą, Iraną, Iraką, Libiją, Malaiziją, Meksiką, Maroką, Norvegija, Pakistanas, Lenkija, Pietų Afrika, Ispanija, Šveicarija, Tunisas, Turkija, Jungtinė Karalystė, JAV ir Venesuela.
Išpakuokite kaukę
Kaukė, dar vadinama „Careto“, vagia dokumentus ir šifravimo raktus, virtualių privačių tinklų (VPN) konfigūracijos informaciją, „Secure Shell“ (SSH) raktus ir nuotolinio darbalaukio kliento failus. Taip pat iš žurnalo jis nuvalo savo veiklos pėdsakus. „Kaspersky Lab“ teigė, kad kenkėjiška programa turi modulinę architektūrą ir palaiko papildinius bei konfigūracijos failus. Jį taip pat galima atnaujinti naujais moduliais. Kenkėjiška programa taip pat bandė išnaudoti senesnę „Kaspersky“ saugos programinės įrangos versiją.
„Tai bandoma piktnaudžiauti vienu iš mūsų komponentų, norint paslėpti“, - teigė Raiu.
Ataka prasideda sukčiavimo elektroniniais laiškais su nuorodomis į kenksmingą URL, kuriame saugomi keli išnaudojimai, prieš galiausiai nukreipiant vartotojus į teisėtą svetainę, nurodytą pranešimo tekste. Šiuo metu užpuolikai kontroliuoja užkrėstų mašinų ryšius.
Užpuolikai panaudojo išnaudojimą, kuriuo buvo siekiama pašalinti „Adobe Flash Player“ pažeidžiamumą, kuris užpuolikams leido apeiti smėlio dėžę „Google Chrome“. Pirmą kartą pažeidžiamumas buvo sėkmingai išnaudotas „Pwn2Own“ konkurse, vykusiame „CanSecWest“ 2012 m., Prancūzų pažeidžiamumo brokerio VUPEN. „VUPEN“ atsisakė atskleisti informaciją apie tai, kaip ji įvykdė išpuolį, sakydama, kad nori išgelbėti tai savo klientams. Raiu visiškai nesakė, kad „The Mask“ naudojamas išnaudojimas buvo tas pats, kas „VUPEN“, tačiau patvirtino, kad tai yra tas pats pažeidžiamumas. „Gal kažkas išnaudoja save“, - sakė Raiu.
VUPEN nuvyko į „Twitter“ ir paneigė, kad atliekant šią operaciją buvo panaudotas jo išnaudojimas, sakydamas: „Mūsų oficialus pareiškimas apie #Mask: išnaudojimas nėra mūsų, tikriausiai jis buvo aptiktas paskleidžiant pleistrą, kurį„ Adobe “išleido po # Pwn2Own“. Kitaip tariant, užpuolikai palygino pataisytą „Flash Player“ su neišleistu leidimu, išnaikino skirtumus ir išvedė išnaudojimo pobūdį.
Kur dabar kaukė?
Kai Kaspersky praėjusią savaitę paskelbė „The Mask“ žinutes savo tinklaraštyje, užpuolikai pradėjo uždaryti savo operacijas, sakė Raiu. Tai, kad užpuolikai sugebėjo uždaryti savo infrastruktūrą per keturias valandas po „Kaspersky“ paskelbimo, rodo, kad užpuolikai buvo tikrai profesionalūs, sakė „AlienVault Labs“ tyrimų direktorius Jaime'as Blasco.
Nors „Kaspersky Lab“ uždarė su operacija susijusius komandų ir valdymo serverius, o „Apple“ uždarė domenus, susijusius su „Mac“ versijos išnaudojimu, Raiu mano, kad jie yra tik visos infrastruktūros „vaizdas“. „Aš įtariu, kad matome labai siaurą jų veikimo langą“, - sakė Raiu.
Nors nesunku manyti, kad kadangi kodekse buvo komentarų ispanų kalba, kad užpuolikai buvo iš ispaniškai kalbančios šalies, Raiu atkreipė dėmesį, kad užpuolikai galėjo lengvai naudoti kitokią kalbą kaip raudoną vėliavą, kad mestų tyrėjus. Kur dabar kaukė? Mes tiesiog nežinome.
