Alfonso Maruccia

The Mask, la rete di cyber-spionaggio svelata da Kaspersky

Un network altamente sofisticato individuato dai lab moscoviti. Una campagna attiva da anni e che č stata interrotta a pochi giorni dalla pubblicazione dell'analisi della minaccia

Roma - Nel sempre più affollato bestiario dei malware APT (Advanced Persistent Threat) entra ora Careto o "The Mask", sofisticatissimo attacco contro obiettivi di alto profilo individuato da Kaspersky Labs e attivo sin dal 2007. I "pupari" non sono noti ma la security enterprise moscovita identifica le possibili origini spagnole della minaccia. Di certo ha tutta l'aria di un'operazione gestita per conto di un governo nazionale.

lo schema di careto secondo kaspersky

Careto - nome identificativo tratto da una stringa di testo presente all'interno del codice del software - è una delle minacce più complesse mai identificate, spiegano gli analisti di Kaspersky, un "pacchetto" tutto compreso che include un malware estremamente sofisticato per Windows (32 e 64-bit), Mac OS X, Linux e forse versioni mobile (Android/iOS), un rootkit e un bootkit per garantirsi la persistenza sulla macchina in caso di pulizia antivirale.

Il software cyber-spione arriva sotto forma di email di phishing altamente personalizzata sui bersagli da colpire, si camuffa come link legittimi a quotidiani online popolari ed è in grado di carpire ogni genere di informazioni dai sistemi infetti comprese chiavi crittografiche, tasti premuti, conversazioni Skype e molto altro ancora.
Gli analisti di Kaspersy hanno individuato 380 vittime "uniche" di Careto su 1.000 diversi IP, indirizzi a cui corrispondono agenzie governative, ambasciate, istituti di ricerca, attivisti, società energetiche o di altre industrie sensibili e altri attori "chiave" dislocati in 31 diversi paesi (Europa, Africa, Sudamerica).

Un'operazione complessa e sofisticata come Careto/Mask era evidentemente pensata per passare inosservata, e infatti Kaspersky ha osservato la cessazione delle attività in anticipo sulla pubblicazione dell'analisi approfondita della minaccia. Gli ignoti autori di Careto erano impegnati a monitorare l'infrastruttura di controllo, spiegano gli analisti, e devono quindi essersi accorti del fatto che qualcuno era in ascolto prima di eliminare le tracce dei file di log (tramite "wiping" e non tramite semplice cancellazione) e interrompere tutte le comunicazioni.

Alfonso Maruccia

fonte immagine
Notizie collegate
  • SicurezzaKaspersky: virus nello spazioEugene Kaspersky parla di malware a bordo della Stazione Spaziale Internazionale, e pure nei network interni delle centrali nucleari russe. Anche senza Internet, le infezioni alle installazioni sensibili sono un rischio
15 Commenti alla Notizia The Mask, la rete di cyber-spionaggio svelata da Kaspersky
Ordina
  • Io vivo di bit da 20 anni 24/24. Sono asociale e quindi ho tempo! Sorride Vi posso assicurare che su tutti i sistemi del mondo si possono eseguire codici di ogni tipo attraverso tecniche di ogni genere. Linux è più sicuro solo se si considera l'alto livello applicativo. NON è ad es. immune ai rootkit. Neppure i chip delle singole periferiche lo sono Sorride Mi basta: iniezione di codice nella shell ed il sistema è mio. Si può fare anche senza usare la tastiera Sorride solo col mouse Sorridenon vi dico su Windows Sorride ...patchato oggi a zero day, W8 risulta più bucato di un tossico anni '90 Sorridedaiii... Il mondo dei malware è stato creato dai colossi degli antimalware e viene costantemente alimentato ed usato per spiarci. Tutti. Le masse prima ancora dei potenti. http://mtc.sri.com/Conficker/ ad esempio è crossplatoform, sono 64kbyte di assembly criptati in 3 block da 512 a 2048 bit... il terzo blocco per noi è ancora un mistero... e da solo in centesimi di secondo, fa' cose che non riuscireste a fare in 10 anni. Ho bonificato qualcosa come 10000 client e 1000 server da lui... ed anche alcuni smartphones. Non servono certo permessi di root Sorride ah... il rootkit che installa non l'abbiamo ancora trovato Sorride ...il vostro pc è sicuramente infetto al pari di quello che sto usando Sorride Ci sono 2 AV che hanno un minimo di senso: ClamAV e BitDefender (ma ad esempio Conficker-D killa dall'hd in mount ( root ? Sorride)))) il processo di BitDefender lanciato da CD bootable... Linux live mi pare Debian. Scusate la mia ironia è detestabile. Ma vi prego, pensate. Aprite gli occhi. MS ha rilasciato le patch per Conficker dopo un warning yellow di 6 MESI! E NON FUNZIONAVANO! Russinovich era già da loro. Dormiva? Conficker è solo uno dei modi che il sistema ha per averci. Ce ne sono migliaia. Non usate il tempo che avete ogni giorno per commentare notizie inutili come questa. La stessa era stata data alcuni mesi fa' in un'altra forma sempre dai Russi Kasporci. Direbbero ora che era un'anticipazione. Symantec? Siamo Golden Partner Sorride Sono stati i secondi a scrivere la firma per Conficker (dopo Kasparagi... Sorride ) perchè li abbiamo aiutati nel 2008. Sempre solo per il worm ed il trojan... mai per il rootkit! Quella è la parte difficile! Sorride
    Non credete mai a nulla di ciò che leggete o sentite senza averlo studiato a fondo. Non comprate mai un software. Regalate una villa se potete a chi lo sviluppa e lo mantiene. Non al suo padrone. Datevi da fare. Studiate. Giorno e notte. Usate TOR. Create Community. Pertecipate. Seguite un'etica ferma. Scrivete codice. Non usate i pc da sconvolti. Non danneggiate le reti. Studiate a fondo l'etica hacker prima di giudicarla e di scegliere se seguirla o meno. Diffondete quanta più conoscenza potete. Volete evitare codice che non desiderate? Usate un sistema operativo read-only, su un supporto read-only. Come disco una penna usb read-only ad esempio. O un dvd se siete poveri. Il sistema operativo a questo punto è indifferente. L'antivirus ed altre minchiate simili (personal firewall, anti ad-aware ecc...) a questo punto non vi serviranno. Sorride Salvate i dati su un altro supporto o nel cloud. Privato o pubblico. Per tutto quello di cui invece vi importa relativamente... usate il vostro normale pc e disinteressatevi ad integrità, privacy, infezioni, sicurezza. Tanto, fidatevi, è tutto inutile. Vi amo!
    non+autenticato
  • - Scritto da: b10h4ck
    > Io vivo di bit da 20 anni 24/24. Sono asociale e
    > quindi ho tempo! Sorride Vi posso assicurare che su
    > tutti i sistemi del mondo si possono eseguire
    > codici di ogni tipo attraverso tecniche di ogni
    > genere. Linux è più sicuro solo se si considera
    > l'alto livello applicativo. NON è ad es. immune
    > ai rootkit. Neppure i chip delle singole
    > periferiche lo sono Sorride Mi basta: iniezione di
    > codice nella shell ed il sistema è mio. Si può
    > fare anche senza usare la tastiera Sorride solo col
    > mouse Sorridenon vi dico su Windows Sorride ...patchato
    > oggi a zero day, W8 risulta più bucato di un
    > tossico anni '90 Sorridedaiii... Il mondo dei malware
    > è stato creato dai colossi degli antimalware e
    > viene costantemente alimentato ed usato per
    > spiarci. Tutti. Le masse prima ancora dei
    > potenti. http://mtc.sri.com/Conficker/ ad esempio
    > è crossplatoform, sono 64kbyte di assembly
    > criptati in 3 block da 512 a 2048 bit... il terzo
    > blocco per noi è ancora un mistero... e da solo
    > in centesimi di secondo, fa' cose che non
    > riuscireste a fare in 10 anni. Ho bonificato
    > qualcosa come 10000 client e 1000 server da
    > lui... ed anche alcuni smartphones. Non servono
    > certo permessi di root Sorride ah... il rootkit che
    > installa non l'abbiamo ancora trovato Sorride ...il
    > vostro pc è sicuramente infetto al pari di quello
    > che sto usando Sorride Ci sono 2 AV che hanno un
    > minimo di senso: ClamAV e BitDefender (ma ad
    > esempio Conficker-D killa dall'hd in mount ( root
    > ? Sorride)))) il processo di BitDefender lanciato da
    > CD bootable... Linux live mi pare Debian. Scusate
    > la mia ironia è detestabile. Ma vi prego,
    > pensate. Aprite gli occhi. MS ha rilasciato le
    > patch per Conficker dopo un warning yellow di 6
    > MESI! E NON FUNZIONAVANO! Russinovich era già da
    > loro. Dormiva? Conficker è solo uno dei modi che
    > il sistema ha per averci. Ce ne sono migliaia.
    > Non usate il tempo che avete ogni giorno per
    > commentare notizie inutili come questa. La stessa
    > era stata data alcuni mesi fa' in un'altra forma
    > sempre dai Russi Kasporci. Direbbero ora che era
    > un'anticipazione. Symantec? Siamo Golden Partner
    > Sorride Sono stati i secondi a scrivere la firma per
    > Conficker (dopo Kasparagi... Sorride ) perchè li
    > abbiamo aiutati nel 2008. Sempre solo per il worm
    > ed il trojan... mai per il rootkit! Quella è la
    > parte difficile!
    > Sorride
    > Non credete mai a nulla di ciò che leggete o
    > sentite senza averlo studiato a fondo. Non
    > comprate mai un software. Regalate una villa se
    > potete a chi lo sviluppa e lo mantiene. Non al
    > suo padrone. Datevi da fare. Studiate. Giorno e
    > notte. Usate TOR. Create Community. Pertecipate.
    > Seguite un'etica ferma. Scrivete codice. Non
    > usate i pc da sconvolti. Non danneggiate le reti.
    > Studiate a fondo l'etica hacker prima di
    > giudicarla e di scegliere se seguirla o meno.
    > Diffondete quanta più conoscenza potete. Volete
    > evitare codice che non desiderate? Usate un
    > sistema operativo read-only, su un supporto
    > read-only. Come disco una penna usb read-only ad
    > esempio. O un dvd se siete poveri. Il sistema
    > operativo a questo punto è indifferente.
    > L'antivirus ed altre minchiate simili (personal
    > firewall, anti ad-aware ecc...) a questo punto
    > non vi serviranno. Sorride Salvate i dati su un altro
    > supporto o nel cloud. Privato o pubblico. Per
    > tutto quello di cui invece vi importa
    > relativamente... usate il vostro normale pc e
    > disinteressatevi ad integrità, privacy,
    > infezioni, sicurezza. Tanto, fidatevi, è tutto
    > inutile. Vi
    > amo!

    Quello che hai detto ha tutta la mia approvazione,in quanto faccio parte della comunità del software libero da taaanto tempo.

    Vorrei però maggiori notizie riguardo il rootkit di cui parli,e cioè vorrei che facessi partecipe me e la comunità delle notizie su dove cercarlo; in questo modo tutti possiamo dare una mano e aiutare gli altri,sviluppando magari delle pacth per contrastare qualunque tipo di infezione.

    Uso esclusivamente Debian gnu/linux da molto tempo,essendo passato per Slackware e Gentoo (che non erano secondo me adatte perchè perdevo tempo inutilmente) e mi piacerebbe sapere da una persona informata come tu mi sembri, almeno dove cercare. Questo nell'interesse di tutti.

    ciao e grazie
  • - Scritto da: roby6732

    > Vorrei però maggiori notizie riguardo il rootkit
    > di cui parli,e cioè vorrei che facessi partecipe
    > me e la comunità delle notizie su dove cercarlo;
    > in questo modo tutti possiamo dare una mano e
    > aiutare gli altri,sviluppando magari delle pacth
    > per contrastare qualunque tipo di
    > infezione.
    >
    facile: Google rootkit LinuxA bocca aperta
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: roby6732
    >
    > > Vorrei però maggiori notizie riguardo il
    > rootkit
    > > di cui parli,e cioè vorrei che facessi
    > partecipe
    > > me e la comunità delle notizie su dove
    > cercarlo;
    > > in questo modo tutti possiamo dare una mano e
    > > aiutare gli altri,sviluppando magari delle
    > pacth
    > > per contrastare qualunque tipo di
    > > infezione.
    > >
    > facile: Google rootkit LinuxA bocca aperta

    Ma va.
    Io intendo dettagli tecnici di codice,zona della possibile invezione e vettore,non effetti più o meno conosciuti
  • non è nell'elenco, neppure i virus ci considerano più In lacrime
    non+autenticato
  • questi scoop di kaspersky sono sempre meno accurati e rilevanti. Non è che vogliono fare solo terrorismo psicologico per costringerti a prendere il loro antivirus (che poi è pesante come un macigno)?
    non+autenticato
  • - Scritto da: meh
    > questi scoop di kaspersky sono sempre meno
    > accurati e rilevanti. Non è che vogliono fare
    > solo terrorismo psicologico per costringerti a
    > prendere il loro antivirus (che poi è pesante
    > come un
    > macigno)?
    hai provato a leggere l'originale?
    non+autenticato
  • Bè certo,per chi usa winzozz sarà un pò difficile da capire ma...
    Ragazzi cari,su gnu/linux senza password NON SI INSTALLA NIENTE.
    Tanto meno il virus arrivato con una email.

    Certo che uno lo scarica,identifica l'eseguibile,gli da i permessi di esecuzione con chmod +x , gli attribuisce un gruppo, lo esegue; bè,allora potrebbe fare danni anche su Linux.Idea!A bocca aperta
  • - Scritto da: roby6732
    > Bè certo,per chi usa winzozz sarà un pò difficile
    > da capire
    > ma...
    > Ragazzi cari,su gnu/linux senza password NON SI
    > INSTALLA
    > NIENTE.
    E macosx come lo consideri?A bocca aperta
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: roby6732
    > > Bè certo,per chi usa winzozz sarà un pò
    > difficile
    > > da capire
    > > ma...
    > > Ragazzi cari,su gnu/linux senza password NON SI
    > > INSTALLA
    > > NIENTE.
    > E macosx come lo consideri?A bocca aperta

    Mac NON lo considero.
    Prima di tutto per l'eccessiva chiusura del sistema,secondo per le configurazioni fatte su un sistema UNIX per permettere a qualunque niubbo di usarlo.
    In primis la mancanza di password per installare programmi.
  • - Scritto da: roby6732
    > - Scritto da: 2014
    > > - Scritto da: roby6732
    > > > Bè certo,per chi usa winzozz sarà un pò
    > > difficile
    > > > da capire
    > > > ma...
    > > > Ragazzi cari,su gnu/linux senza
    > password NON
    > SI
    > > > INSTALLA
    > > > NIENTE.
    > > E macosx come lo consideri?A bocca aperta
    >
    > Mac NON lo considero.

    Strano quando conviene è un caro cuggino di LinuxA bocca aperta

    > Prima di tutto per l'eccessiva chiusura del
    > sistema,secondo per le configurazioni fatte su un
    > sistema UNIX per permettere a qualunque niubbo di
    > usarlo.
    > In primis la mancanza di password per installare
    > programmi.

    admin root è passata di moda?A bocca aperta

    P.S. se leggi il rapporto originale la parola Linux compare parecchie volte...
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: roby6732
    > > - Scritto da: 2014
    > > > - Scritto da: roby6732
    > > > > Bè certo,per chi usa winzozz sarà
    > un
    > pò
    > > > difficile
    > > > > da capire
    > > > > ma...
    > > > > Ragazzi cari,su gnu/linux senza
    > > password NON
    > > SI
    > > > > INSTALLA
    > > > > NIENTE.
    > > > E macosx come lo consideri?A bocca aperta
    > >
    > > Mac NON lo considero.
    >
    > Strano quando conviene è un caro cuggino di Linux
    >A bocca aperta
    >
    > > Prima di tutto per l'eccessiva chiusura del
    > > sistema,secondo per le configurazioni fatte
    > su
    > un
    > > sistema UNIX per permettere a qualunque
    > niubbo
    > di
    > > usarlo.
    > > In primis la mancanza di password per
    > installare
    > > programmi.
    >
    > admin root è passata di moda?A bocca aperta
    >
    > P.S. se leggi il rapporto originale la parola
    > Linux compare parecchie
    > volte...

    Compare insieme a mac: "Mac OS X and Linux", e solitamente per dire che al contrario di windows il virus non funziona altrettanto automaticamente come su windows.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: 2014
    > > - Scritto da: roby6732
    > > > - Scritto da: 2014
    > > > > - Scritto da: roby6732
    > > > > > Bè certo,per chi usa winzozz
    > sarà
    > > un
    > > pò
    > > > > difficile
    > > > > > da capire
    > > > > > ma...
    > > > > > Ragazzi cari,su gnu/linux
    > senza
    > > > password NON
    > > > SI
    > > > > > INSTALLA
    > > > > > NIENTE.
    > > > > E macosx come lo consideri?A bocca aperta
    > > >
    > > > Mac NON lo considero.
    > >
    > > Strano quando conviene è un caro cuggino di
    > Linux
    > >A bocca aperta
    > >
    > > > Prima di tutto per l'eccessiva chiusura
    > del
    > > > sistema,secondo per le configurazioni
    > fatte
    > > su
    > > un
    > > > sistema UNIX per permettere a qualunque
    > > niubbo
    > > di
    > > > usarlo.
    > > > In primis la mancanza di password per
    > > installare
    > > > programmi.
    > >
    > > admin root è passata di moda?A bocca aperta
    > >
    > > P.S. se leggi il rapporto originale la parola
    > > Linux compare parecchie
    > > volte...
    >
    > Compare insieme a mac: "Mac OS X and Linux", e
    > solitamente per dire che al contrario di windows
    > il virus non funziona altrettanto automaticamente
    > come su
    > windows.
    leggi bene
    non+autenticato
  • - Scritto da: roby6732
    > - Scritto da: 2014
    > > - Scritto da: roby6732
    > > > Bè certo,per chi usa winzozz sarà un pò
    > > difficile
    > > > da capire
    > > > ma...
    > > > Ragazzi cari,su gnu/linux senza
    > password NON
    > SI
    > > > INSTALLA
    > > > NIENTE.
    > > E macosx come lo consideri?A bocca aperta
    >
    > Mac NON lo considero.

    Ok è un tuo diritto.

    > Prima di tutto per l'eccessiva chiusura del
    > sistema,secondo per le configurazioni fatte su un
    > sistema UNIX per permettere a qualunque niubbo di
    > usarlo.

    Che è sempre una brutta cosa, certo.

    > In primis la mancanza di password per installare
    > programmi.

    Lol?
    Ma che enorme fesseria è questa.

    Grazie, mi hai fatto fare una risata pazzesca.
    maxsix
    8956
  • - Scritto da: maxsix

    empre una brutta cosa, certo.
    >
    > > In primis la mancanza di password per
    > installare
    programmi.
    >
    > Lol?
    > Ma che enorme fesseria è questa.
    >
    > Grazie, mi hai fatto fare una risata pazzesca.

    Ridi pure, intanto riporto da :http://support.apple.com/kb/HT1148?viewlocale=it_I...

    Installazione di un nuovo software e nuovi aggiornamenti

    Installazione di un nuovo software da un disco
    Se il computer dispone di unità ottica, basta inserirvi il CD o il DVD; altrimenti, consulta la nota riportata di seguito. Nella maggior parte dei casi, il programma di installazione del software si aprirà automaticamente. In caso contrario, fai doppio clic sull'icona del disco presente sulla scrivania e nella finestra che viene visualizzata e cerca un file che riporti "programma di installazione" nel titolo. Fai doppio clic sul file per aprire il programma di installazione e segui le istruzioni visualizzate per installare il software. Per farlo, sarà necessario inserire un nome e una password amministratore.

    e qui hai ragione tu.

    ma:

    Installazione di software da un file scaricato senza il programma di installazione
    Dopo aver scaricato il software, se non si apre automaticamente la finestra del programma di installazione o non viene visualizzato un file con il nome contenente l'espressione "programma di installazione" o parole simili durante l'installazione manuale dell'immagine disco, puoi installare il software trascinando e rilasciando il file o la cartella dall'immagine disco alla cartella Applicazioni (o altre cartelle) presente sul Mac. Questi tipi di file dispongono già di tutti i file preinstallati e non richiedono un programma di installazione vero e proprio per effettuare l'installazione e nemmeno un nome e una password amministratore.

    Qui ho ragione io.