Kaspersky scopre "The Mask", attaccati obiettivi ad alto profilo

Oltre ai classici malware che impazzano sulle varie piattaforme vi sono alcune minacce che vengono battezzate dagli esperti come APT (Advanced Persistent Threat). Come avevamo evidenziato nell’articolo Arbor Networks: aumentano le aggressioni mirate e gli attacchi DDoS, l’acronimo APT viene adoperato per riferirsi a quegli attacchi per violare una specifica infrastruttura aziendale e per mantenere attivi canali di comunicazione che permettano, da remoto, di sottrarre informazioni e gestire i sistemi violati.

Secondo Kaspersky, che ha appena diramato una nota ufficiale, dal 2007 sarebbe stata avviata una campagna di cyber-spionaggio in grado di colpire, principalmente, istituzioni governative, società in ambito energetico, compagnie petrolifere e del gas o comunque obiettivi di alto profilo.

La minaccia, oggetto di lunghe investigazioni, sembra di matrice spagnola ed è oggi conosciuta con l’appellativo di “The Mask” o di “Careto“. Parte integrante dell’armamentario usato dai criminali informatici, un malware definito come “estremamente sofisticato”, un rootkit ed un bootkit.
Oltre alla versione per Windows, “The Mask” poggia su analoghi componenti dannosi per Mac OS X, Linux e, molto probabilmente, anche per Android ed Apple iOS. Kaspersky parla insomma di un malware “a tutto tondo”, capace di aggredire molteplici piattaforme, anche molto differenti l’una dall’altra.

Ottenere dati sensibili dai sistemi infettati è lo scopo dei criminali informatici che hanno sviluppato “The Mask“. Questi dati comprendono documenti in formato Office ma anche chiavi crittografiche, configurazioni delle reti VPN, chiavi SSH e file RDP (utilizzati dal client Desktop Remoto per avviare la connessione sul sistema da amministrare).

Stando a quanto rivelato dagli esperti di Kaspersky, si contano vittime degli attacchi in ben 31 Paesi, da Medio Oriente ed Europa fino ad Africa e America. E per gli analisti della società russa, molteplici elementi farebbero pensare ad un diretto coinvolgimento di qualche governo. “Abbiamo riscontrato un livello di professionalità molto alto nelle procedure operative del gruppo che sta dietro all’attacco. Dalla gestione dell’infrastruttura fino all’arresto delle operazioni, evitando di attirare l’attenzione attraverso le regole di accesso e utilizzando wiping al posto della cancellazione dei file di log“, ha rilevato Costin Raiu, direttore del laboratorio di analisi di Kaspersky, valutando “The Mask” come una minaccia ancora più sofisticata rispetto, ad esempio, a Duqu. “Questo livello di sicurezza operativa non è normale per un gruppo di cyber-criminali“, ha concluso l’esperto di Kaspersky.

L’attacco, secondo Kaspersky, comincia con un’aggressione di tipo spear phishing: tutto parte da un messaggio di posta elettronica che sembra provenire da un collega o da un’azienda che si conosce bene.
Invece, link che puntano verso siti malevoli consentono di avviare l’aggressione vera e propria. Le pagine web di destinazione contengono infatti codice malevolo ideato per sfruttare un gran numero di falle di sicurezza nei vari software. “In seguito al successo dell’infezione, il sito malevolo reindirizza l’utente al sito Web ‘non nocivo’ indicato nell’email, che può essere un filmato su YouTube o un portale di informazioni“, si spiega da Kaspersky.

“The Mask“, infine, è stato pensato come un sistema altamente modulare: supporta plugin e file di configurazione che permettono di svolgere numerose funzioni. Oltre alle funzionalità integrate, gli ideatori del malware possono caricare moduli aggiuntivi i quali, a loro volta, possono svolgere operazioni dannose.