» »

Španski stuxnet: Careto

Španski stuxnet: Careto

Secure List - Raziskovalci ruskega Kaspersky Laba so odkrili nov zelo dovršen kos prisluškovalne programske opreme, ki so ga poimenovali Careto (v španščini je careta maska). Careto je v divjini že vsaj pet let, napada pa predvsem vladne ustanove, diplomatska predstavništva, pomembna podjetja, raziskovalne ustanove, nevladne organizacije aktiviste. Najbrž so ga napisali špansko govoreči avtorji in predstavlja najbolj dovršen kos malwara, ki so ga doslej odkrili.

To je prva nenavadna lastnost, saj smo doslej pri analizi tovrstnih aplikacij (virusov, črvov itd.) srečevali skorajda izključno angleško, rusko ali kitajsko govoreče pisce. Španija in Latinska Amerika nista bili omembi vredni sili, a smo se očitno motili. Careto je aktiven že pet let, prvi kosi programi pa so bili napisani leta 2005. Odkrili so ga v 31 državah, najbolj prizadeta pa sta Maroko in Brazilija. Careto so sicer opazili v Evropi, Severni in Južni Ameriki, arabski Afriki in Maleziji.

Kaspersky Lab je Careto prvikrat opazil lani, ko so opazili poizkuse izrabe ranljivosti, ki so jo v svojih izdelkih zakrpali pred petimi leti. Analiza je odkrila Careto, ki se ugnezdi na računalnik in prestreza vse vrste komunikacije prek računalnika in vse podatke o sistemu. Careto uporablja več ranljivosti, obstoja pa v verzijah za Mac OS X, Linux, Windows in verjetno tudi Android ter iOS. Gre za kombinacijo malwara, rootkita in bootkita.

Tarče so se okužile prek elektronske pošte. Prejele so elektronsko sporočilo s povezavo do okužene zlonamerne spletne strani, ki je bila prilagojena več različnim operacijskim sistemom, po okužbi pa je uporabnika dejansko preusmerila na povsem običajno stran (recimo YouTube ali uglednih časnikov), da ta ni ničesar posumil. Zlonamerne spletne strani so imele okužene zgolj podstrani, do katerih so vodile samo povezave v elektronski pošti, medtem ko jih z naključnim brskanjem po spletu ali tudi glavni strani ni bilo mogoče najti. S tem se je Careto dobro izogibal dviganju pozornosti in odkritju.

Careto je zbiral vse mogoče podatke, od dokumentov do uporabniških imen in gesel za VPN, certifikatov itd. Pri tem je bil zelo poučèn, saj je zbiral tudi datoteke s končnicami, za katere Kaspersky Lab še ni uspel ugotoviti, čemu služijo. Mogoče gre za specialne dokumente namenske programske opreme za vladne potrebe. Careto je prestrezal mrežni promet, beležil vnose prek tipkovnice, pogovore prek Skypa, šifrirane ključe (PGP), analiziral promet prek Wi-Fi, snemal zaslonsko sliko, nadzoroval operacije z datotekami itd.

O dovršenosti tega programa, ki ga uvrščamo v razred APT (advanced persistent threat), priča komentar Costina Raiua, ki v Kaspersky Labu vodi ekipo za analizo. Pravi, da po kakovosti in sposobnosti programerjev presega Flame. Ta pa je bil, spomnimo, še stokrat bolj dovršen od Stuxneta in doslej najkompleksnejši odkriti kos malwara. Vse kaže, da Maske niso spisali isti programerji kot Stuxnet in Flame, saj so govorili špansko. Predvidevajo pa, da tudi za Masko stoji državna agencija, saj je stvar prekompleksna, da bi jo spisali privatni programerji.

10 komentarjev

Iatromantis ::

Skrivnost ima paradoksalno lastnost - v materialnem svetu mora imeti skrivnost materialno podlago in le-ta je vedno pojavna in zato ne more biti za vedno skrita, pač pa je lahko skrivnost zgolj mentalni koncept, ki ustvarja prelome, ko se sreča z realnostjo - in ti prelomi so vidno tudi v tem korporativno-državnem malwaru, ki zadnja leta kar naprej pada iz tega sveta skrivnosti, ki ga moderna družba 'tako dobro' obvlada.

grex ::

Ali za fizične osebe oz. malo podjetje obstaja kakršenkoli smisel kupovanja anti-zlonamernih aplikacij?

Kolikor razumem je dovolj osnovna zaščita, da te pač vsaka skripta iz leta 1995 ne najde, sicer pa rabiš vsaj profesionalni team za sabo, česar si pa večina ne more privoščiti?

Ali prav razmišljam?

tony1 ::

Dediščina Iserda? :P

DoDaske ::

Iatromantis je izjavil:

Skrivnost ima paradoksalno lastnost - v materialnem svetu mora imeti skrivnost materialno podlago in le-ta je vedno pojavna in zato ne more biti za vedno skrita, pač pa je lahko skrivnost zgolj mentalni koncept, ki ustvarja prelome, ko se sreča z realnostjo - in ti prelomi so vidno tudi v tem korporativno-državnem malwaru, ki zadnja leta kar naprej pada iz tega sveta skrivnosti, ki ga moderna družba 'tako dobro' obvlada.


Zelo dobro povedano...

DoDaske ::

grex je izjavil:

Ali za fizične osebe oz. malo podjetje obstaja kakršenkoli smisel kupovanja anti-zlonamernih aplikacij?

Kolikor razumem je dovolj osnovna zaščita, da te pač vsaka skripta iz leta 1995 ne najde, sicer pa rabiš vsaj profesionalni team za sabo, česar si pa večina ne more privoščiti?

Ali prav razmišljam?

Ali je pravo razmišlanje ali ne, ne vem....je pa razumljivo .... Minili so časi, ko so bili pisci takih zlonamernih aplikacij, uporniški posamezniki(če sploh kdaj).
Ciber war je pravi opis dogajanja....Vprašanje je ali je "vojna" prava beseda, če je razumemo v klasičnem pomenu, kot vojna med državami. Vse bolj se kristalizira, v svetu informacijske megle, da smo cilj kar mi sami, čeprav indirektno preko napadov državnih, civilnih in vojaških institucij, pomembnih za delovanje prav družbe.

Po domače in na kratko....napada se družba, kot jo poznamo....vprašanje je samo, kakšna bo družba prihodnosti....

erunno ::

A se še komu zdi nenavadno da ta zlonamerna programska koda proba izključiti samo zaščito od Kaspersky antivirusa, pa nobeno drugo, sploh glede na širino operacijskih sistemov, ki jih je zmožen napasti?

erunno ::

Predvidevam da je to zajebancija.
Če ne pa je pa na drugem linku http://www.securelist.com/en/downloads/... isto napisano. Sicer smo pa še prej videli expoite za OSX in Lunux usnovane sisteme.

alexa-lol ::

erunno je izjavil:

A se še komu zdi nenavadno da ta zlonamerna programska koda proba izključiti samo zaščito od Kaspersky antivirusa, pa nobeno drugo, sploh glede na širino operacijskih sistemov, ki jih je zmožen napasti?


Očitno Kaspersky lahko zaznava le to če hoče kdo izključiti njihov produkt.

Jst ::

Ker ni še noben napisal, bom pa jaz prvi:

Jaz pa že 17 let ne uporabljam AV programov, ker sem tako pameten in previden na internetu, zato imam neokužen računalnik. :)


---

Primerjava Maske s stuxnetom ni na mestu, ker je bil stuxnet napisan za okužbo Iranskih proizvodnih obratov urana, pri maski pa točno določenega namena ni - zbira vse informacije, do katerih ima dostop.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Mandi ::

To ti je ta pravi vladni trojanec :))


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Equation Group razvil hujše metode kot Stuxnet (strani: 1 2 )

Oddelek: Novice / Varnost
7533784 (27567) Iatromantis
»

Tudi Francija ima svojega vladnega črva

Oddelek: Novice / Varnost
177755 (5850) Rias Gremory
»

Stuxnet, DuQu, Flame, Madi, Gauss ... Rdeči oktober! (strani: 1 2 )

Oddelek: Novice / Varnost
7424563 (21949) OmegaBlue
»

Kaspersky išče pomoč pri dešifriranju trojanca Gauss

Oddelek: Novice / Varnost
84135 (2345) Fave
»

Flame stokrat kompleksnejši od Stuxneta

Oddelek: Novice / Varnost
4218984 (16727) BigWhale

Več podobnih tem