Španski stuxnet: Careto
Matej Huš
11. feb 2014 ob 00:31:03
Raziskovalci ruskega Kaspersky Laba so odkrili nov zelo dovršen kos prisluškovalne programske opreme, ki so ga poimenovali Careto (v španščini je careta maska). Careto je v divjini že vsaj pet let, napada pa predvsem vladne ustanove, diplomatska predstavništva, pomembna podjetja, raziskovalne ustanove, nevladne organizacije aktiviste. Najbrž so ga napisali špansko govoreči avtorji in predstavlja najbolj dovršen kos malwara, ki so ga doslej odkrili.
To je prva nenavadna lastnost, saj smo doslej pri analizi tovrstnih aplikacij (virusov, črvov itd.) srečevali skorajda izključno angleško, rusko ali kitajsko govoreče pisce. Španija in Latinska Amerika nista bili omembi vredni sili, a smo se očitno motili. Careto je aktiven že pet let, prvi kosi programi pa so bili napisani leta 2005. Odkrili so ga v 31 državah, najbolj prizadeta pa sta Maroko in Brazilija. Careto so sicer opazili v Evropi, Severni in Južni Ameriki, arabski Afriki in Maleziji.
Kaspersky Lab je Careto prvikrat opazil lani, ko so opazili poizkuse izrabe ranljivosti, ki so jo v svojih izdelkih zakrpali pred petimi leti. Analiza je odkrila Careto, ki se ugnezdi na računalnik in prestreza vse vrste komunikacije prek računalnika in vse podatke o sistemu. Careto uporablja več ranljivosti, obstoja pa v verzijah za Mac OS X, Linux, Windows in verjetno tudi Android ter iOS. Gre za kombinacijo malwara, rootkita in bootkita.
Tarče so se okužile prek elektronske pošte. Prejele so elektronsko sporočilo s povezavo do okužene zlonamerne spletne strani, ki je bila prilagojena več različnim operacijskim sistemom, po okužbi pa je uporabnika dejansko preusmerila na povsem običajno stran (recimo YouTube ali uglednih časnikov), da ta ni ničesar posumil. Zlonamerne spletne strani so imele okužene zgolj podstrani, do katerih so vodile samo povezave v elektronski pošti, medtem ko jih z naključnim brskanjem po spletu ali tudi glavni strani ni bilo mogoče najti. S tem se je Careto dobro izogibal dviganju pozornosti in odkritju.
Careto je zbiral vse mogoče podatke, od dokumentov do uporabniških imen in gesel za VPN, certifikatov itd. Pri tem je bil zelo poučèn, saj je zbiral tudi datoteke s končnicami, za katere Kaspersky Lab še ni uspel ugotoviti, čemu služijo. Mogoče gre za specialne dokumente namenske programske opreme za vladne potrebe. Careto je prestrezal mrežni promet, beležil vnose prek tipkovnice, pogovore prek Skypa, šifrirane ključe (PGP), analiziral promet prek Wi-Fi, snemal zaslonsko sliko, nadzoroval operacije z datotekami itd.
O dovršenosti tega programa, ki ga uvrščamo v razred APT (advanced persistent threat), priča komentar Costina Raiua, ki v Kaspersky Labu vodi ekipo za analizo. Pravi, da po kakovosti in sposobnosti programerjev presega Flame. Ta pa je bil, spomnimo, še stokrat bolj dovršen od Stuxneta in doslej najkompleksnejši odkriti kos malwara. Vse kaže, da Maske niso spisali isti programerji kot Stuxnet in Flame, saj so govorili špansko. Predvidevajo pa, da tudi za Masko stoji državna agencija, saj je stvar prekompleksna, da bi jo spisali privatni programerji.