Jelenlegi hely

A Maszk nevű kibertámadás

A Kaspersky kiberbiztonsággal foglalkozó orosz bázisú cég 2014. február 3-án beszámolt róla, hogy felfedeztek egy olyan, rendkívül kifinomult működésű malware-t, amely már 2007 óta aktív, és valószínűleg állami készítésű, illetve állami célokat szolgált. A részletes információkat a malware működéséről és felépítéséről 2014. február 10-én publikálták. A The Mask-nak (vagy másnéven Careto-nak) elnevezett APT (Advanced Persistent Threat) 2007 óta több kiberkémkedési kampányt is indított, melyek valószínűleg különböző célokat szolgáltak.

A „The Mask” az APT-re általánosságban jellemző rendkívűl kifinomult felépítésű, sőt még az eddig megszokottaktól is bonyolultabb eszközkészlet jellemzi: kifinomult malware, rootkit, bootkit, melyek nemcsak az eddig megszokott módon a 32- illetve 64 bites Windows verziók esetében működnek, hanem Mac OS X és Linux változatok alatt is, sőt még Android és iPad/iPhone (Apple iOS) rendszerek esetében is léteznek működőképes áltozataik. Működését tekintve is rendkívül sokoldalú: figyeli a hálózati forgalmat, a billentyűleütéseket, a Skype kommunikációt, a PGP titkosítási kulcsokat, elemzi a Wi-Fi forgalmat, a Nokia készülékeiről képes begyűjteni az összes lehetséges információt, tud képernyőképeket készíteni és nyomon követi az össze fájlműveletet. Mindemellett pedig egy megadott lista alapján megszerzi a rendszerben található dokumentumokat, köztük a titkosítási kulcsokat, a VPN konfiguráció adatait, az SSH kulcsokat, illetve a távoli hozzáférést biztosító protokoll, az RDP fájljait, továbbá folytat még olyan tevékenységeket is, melyek célját a Kaspersky kutatói egyelőre nem tudták azonosítani, eddigi feltételezésük szerint a katonai, kormányzati titkosítási folyamatokkal kapcsolatos monitorozásról lehet szó.A támadás professzonalizmusát jelzi továbbá az is, hogy az adatok gyűjtése és C&C szerverekhez való eljuttatása mellett az átlagosnál is nagyobb figyelmet szenteltek a befertőzés „nyomainak” elfedésére is, például infrastruktúrafelügyelet, a naplófájlok törlése helyett azok felülírása.A Kaspersky az eddig feltárt információk alapján a „The Mask”-ot kifinomultság tekintetében a Duqu elé helyezi az APT-k veszélyességi rangsorában.

A „The Mask” fő célpontjai:  állami intézmények,  követségek,  energiaipari, olaj- és gázipari cégek, magáncégek,  kutatóintézetek,  befektetői társaságok,  aktivisták. Eddig több mint 380 egyedi áldozatot és 1000-nél is több IP címet azonosítottak, 31 országot érintően. Az eddigi áldozatok között Magyarország nem szerepel, ez azonban nem jelenti azt, hogy a várhatóan még újrainduló a „The Mask” APT eszközkészletét felhasználó kiberkémkedési kampányok során nem válhat célponttá, tehát tekintve a The Mask rendkívül széles hatókörét és összetettségét az NBF javasolja az eddig közzétett vizsgálati eredmények proaktív felhasználását az APT elleni védekezésben.