1、Careto /“The mask”究竟是什么?

“The mask”是一個起始于2007年甚至可能更早，并一直活躍著的網絡間諜行動。

“The mask”的獨特魅力在于攻擊者所使用的工具集的復雜性。這套工具集包括一個極其復雜的惡意攻擊軟件,一個rootkit，一個bootkit、Mac OS X和Linux版本,可能還有Android和iPad / iPhone(iOS)版本。

“The mask”為了更有效的隱秘性使用了一個定制的攻擊，這個特定的攻擊模塊專門針對舊版的卡巴斯基實驗室產品，復雜性甚至超過了Duqu木馬,“The mask”堪稱目前最先進的威脅之一。鑒于此以及考慮其他一些因素，有理由相信這可能是一個由國家資助的操作。

2、為什么稱之為“The mask”?

“The mask”這個名字來自西班牙俚語詞“Careto”("Mask" or "Ugly Face"–可譯為“面具”或“丑陋的臉”)，研究員在病毒模塊中發現該字符串(如下圖所示)，故而以此命名。

3、誰是受害者?/攻擊目標是什么呢?

Careto的主要目標分為以下幾種類別:

–政府機構

–外交辦公室和大使館

–能源,石油和天然氣公司

–研究機構

–私人股本公司

–社會積極分子

4、目前可知受害者的總數嗎?

盡管受害者的具體數量未知,但我們已經觀察到分布在31個國家的超過了1000個IP地址被感染，已觀察到被感染的國家包括:阿爾及利亞、阿根廷、比利時、玻利維亞、巴西、中國、哥倫比亞、哥斯達黎加、古巴、埃及、法國、德國、直布羅陀、危地馬拉、伊朗、伊拉克、利比亞、馬來西亞、墨西哥、摩洛哥、挪威、巴基斯坦、波蘭、南非、西班牙、瑞士、突尼斯、土耳其、英國、美國和委內瑞拉。

基于卡巴斯基實驗室開發的識別算法,估算出受害人數目在380個以上。

然而,考慮到收集這些受害者信息依據只是一些C&C服務器和已記錄在案的主機,所以可能受影響的國家和受害者的真實總數會更高。

5、Careto是做什么的?目標機器被感染后會發生什么?

對于一個受害者而言,感染了Careto的危害是災難性的。該款惡意軟件能夠攔截所有的溝通渠道,從受感染的系統中收集最重要的信息。因為其具有隱形rootkit功能，非常不易檢測到。除了內置功能,Careto可以上傳可以執行任何惡意的任務的其他模塊?？紤]到已知受害者的性質,Careto的影響可能非常高。

6、Careto如何感染電腦?

我們發現"The mask"活動主要依賴附帶惡意網站鏈接的網絡釣魚電子郵件。設計好的惡意網站包含了很多可利用的漏洞，根據系統配置的不同，可以感染很多游客,這取決于他的系統配置。成功感染后惡意網站會將用戶重定向到電子郵件中引用的一個良性網站上,比如一個YouTube電影或新聞門戶網站。

需要特別注意的是，這些包含可利用漏洞的網站不自動感染游客;相反,襲擊者主機網站上的可利用漏洞存放在特定的文件夾,他們除了惡意郵件之外，并不與其他任何事物有直接關聯。有時,攻擊者在惡意網站上使用子域,使他們看起來更合法。這些子域名主要模擬一些西班牙的主要報紙或者一些國際上有名的報紙(如《衛報》和《華盛頓郵報》)。

7、攻擊者利用零日漏洞嗎?

到目前為止,我們觀察到的"Themask"攻擊使用到了多個攻擊手段，其中包含至少一個Adobe FlashPlayer可利用漏洞(cve – 2012 – 0773)，該漏洞主要針對Flash播放器的10.3和11.2版本。

“cve – 2012 – 0773”最初是由VUPEN黑客團體發現的，這中間還有一個有趣的故事，2012年在加拿大CansecWest舉行的Pwn20wn黑客大會上由VUPEN黑客團體首次攻破了Google公司Chrome瀏覽器，發現其存在一個安全繞過漏洞和一個內存釋放后可利用漏洞。這個可利用漏洞引起了很大的爭議,因為VUPEN團隊拒絕透露他們如何躲過了沙箱,并聲稱他們計劃將該可利用漏洞賣給他們的客戶。有可能是Careto操作者從VUPEN手中購買了此漏洞。(參見RyanNaraine故事)

其他攻擊手段使用包括社會工程,比如要求用戶下載并執行一個JavaUpdate。jar文件或安裝一個Chrome瀏覽器插件。我們懷疑存在其他的可利用漏洞,但我們的研究員沒有能夠從攻擊服務器檢索到它們。

8、這是一個僅適用于windows的威脅嗎?哪些Windows 版本是攻擊目標?有針對MacOS X和Linux系統的變體嗎?

到目前為止,我們觀察到該木馬可以感染MicrosoftWindows和Mac OS x系統。發現其中有一些利用服務器路徑包含模塊,似乎是為感染Linux系統的計算機而設計的,但我們還沒有找到Linux后門。此外,從C&C服務器的日志顯示,可能存在Android和蘋果iOS系統的后門。

9、是否有一個移動組件的任何證據——iOS、Android或黑莓?

我們懷疑存在一個iOS后門,但我們沒能找到它。懷疑是基于一個服務器的調試日志，日志顯示了一個標識為阿根廷的受害者，并記錄了該用戶的代理信息是"Mozilla/5.0(iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko)Mobile/10B329"。這似乎表明這是一個iPad,盡管沒有一個確定的示例。

除此之外,我們還懷疑存在一個Android的植入物。這是基于發送到C&C服務器上的一個獨特的版本標識符“AND1.0.0.0”。使用到這種獨特標識符的通信已在3 g連接上被觀察到,表示可能是一個移動設備。

10、它與其他的APT攻擊有何不同?

“The mask”的獨特魅力是攻擊者所使用的工具集的復雜性。它的武器庫包括了極其復雜的惡意軟件,rootkit,bootkit,Mac和Linux版本,可能存在Android和iPad/ iPhone(蘋果iOS)版本。

同時, “The mask”為增強其隱秘性而使用了一個定制的攻擊，這個特定的攻擊模塊專門針對舊版的卡巴斯基實驗室產品，復雜性甚至超過了Duqu木馬,“The mask”堪稱目前最先進的威脅之一。鑒于此以及考慮其他一些因素，有理由相信這可能是一個由國家資助的操作。(回答與第一個問題雷同……)

11、如何認知到這個威脅的存在?誰報告的?

我們最初意識到Careto是觀察到有惡意軟件試圖利用卡巴斯基安全產品的漏洞，從而更加隱秘的入侵系統。這種手段增加了我們的興趣,研究團隊決定進一步調查。換句話說,因為攻擊者對卡巴斯基實驗室產品的攻擊，成功的吸引了我們的注意力。

雖然這個產品的漏洞在五年前已經被發現并得到了修補，但是在用戶沒有更新產品的情況下，盡管可以刪除惡意軟件并清查系統，這個漏洞仍然可以被利用,。

12、有多個變體Careto嗎?這些變體主要差別是什么?

Careto是一個高度模塊化的系統,它能夠支持插件和配置文件，這一特性使得它可以擁有很多功能。

從2007年開始，Careto就有不同的編譯版本，不過大多數模塊創建于2012年。

13、Careto的C&C服務器仍然活躍嗎?是否能夠掌握任何C&C服務器?

截止目前,所有已知Careto服務器都已離線。從2014年1月開始攻擊者陸續使這些C&C服務器離線。我們仍掌握著幾臺C&C服務器,允許我們收集統計信息。

14、哪些信息是攻擊者的竊取目標?

惡意軟件從受感染的系統上收集大量的文檔,包括加密密鑰、VPN配置,SSH密鑰和RDP文件，我們還監視到幾個未知功能的擴展模塊，可能與定制的軍事/國家級別的加密工具有關聯。

我們分析到的完整的Careto收集文件格式列表如下:

* .AKF,* .ASC、* .AXX * .CFD,*.CFE,* .CRT,* . doc,* docx,* .EML,* .ENC,* .GMG,* .GPG,* .HSE,* .KEY,

* .M15,* .M2F、*.M2O * .M2R,* .MLS,* .OCFS,* .OCU,*。ods,*.ODT,* .OVPN,* .P7C,* .P7M,* .P7Z,* .PAB,* . pdf,

* .PGP,* .PKR、*.PPK * .PSW,* .PXL,* .RDP,* . rtf,* .SDC,* .SDW,* .SKR,* . ssh,* .SXC,* .SXW,*.VSD,

* .WAB,* .WPD、*.WPS * .WRD,* xls,* .XLSX

15、這是一個政府資助的攻擊嗎?

“The mask”使用一個專門針對舊版卡巴斯基實驗室產品的定制攻擊，有效的提高了其隱秘性。此外,它的武器庫中還包括一個rootkit,bootkit,Linux/ Mac版本，也可能存在iOS版本。復雜性超過了Duqu木馬,就目前的技術水平而言，“The mask”的攻擊手段相當的先進。

另外,我們觀察到這種攻擊背后有一個高水準的專業性操作集團,比如攻擊者能有效的監視他們的基礎設施,關閉操作,巧妙的穿透系統的訪問限制,使用擦拭而不是刪除日志文件等等。這種安全操作的級別不是尋常的網絡犯罪組織能夠達到的。

鑒于此以及其他一些因素，我們有理由相信這可能是由一個國家資助的活動。

16、誰應對此攻擊負責?

追根溯源是一項艱巨的任務。由于互聯網的開放性和波動性，找出一個明確的源頭是非常困難。

諸如使用到了西班牙語這類的線索是相當薄弱的證據，因為很多國家都使用西班牙語，其中包括拉丁美洲,墨西哥或美國(例如在邁阿密,就存在一個強大的西班牙語社區)。

而且在沒有確鑿證據之前，我們也不排斥語言只是一種障眼法的可能。

17、攻擊者活躍多久了?

最早的一些Careto樣本可以追溯到2007年，一直活躍到2014年1月,但在我們調查期間，C&C服務器被關閉。所以保守估計至少活動了5年。我們不排除攻擊者在將來的某個時候重啟活動的可能。

18、攻擊者使用了哪些有趣/先進技術嗎?

Windows后門是極其復雜的,攻擊者為增強攻擊的隱秘性使用了多種技術。這些技術包括注入系統庫、為了逃避檢測而利用漏洞攻擊舊版卡巴斯基實驗室產品。

此外,漏洞利用覆蓋了所有潛在的目標系統,包括Mac OS X和Linux。同樣,不同的shellcode模塊之間的利用COOKIES進行通信,這是一個相當不尋常的方法。

19、卡巴斯基實驗室能檢測這個惡意軟件的所有變體嗎?

是的。我們的產品能檢測并刪除攻擊者使用的所有已知的惡意軟件的版本。名稱標識為:

Trojan.Win32 / Win64.Careto.*

Trojan.OSX.Careto

20、有沒有協定的指標(IOCs)能夠幫助受害者去識別入侵?

是的，我們詳細的技術研究論文中已經包含了IOC(國際標準化組織)相關的信息，如果有興趣，可以點擊下邊的鏈接來閱讀完整的報告。