Kaspersky Lab ha annunciato la scoperta di “The Mask” (aka Careto), minaccia avanzata in lingua spagnola che è stata coinvolta in operazioni di cyber-spionaggio a livello mondiale almeno dal 2007. Quello che rende The Mask speciale è la complessità del set di strumenti utilizzato dai cyber criminali. Questo comprende un malware estremamente sofisticato, un rootkit, un bootkit, le versioni Mac OS X e Linux e probabilmente anche le versioni per Android ed iOS (iPad/iPhone).
Gli obiettivi principali sono enti governativi, uffici diplomatici e ambasciate, società in ambito energetico, compagnie petrolifere e del gas, società di ricerca e attivisti. Si contano le vittime di questi attacchi mirati in 31 Paesi, dal Medio Oriente ed Europa fino ad Africa e America.
Secondo il report di analisi di Kaspersky Lab, la campagna The Mask si basa su email di spear-phishing con link a siti Web nocivi. Ottenere dati sensibili dai sistemi infettati è lo scopo dei criminali informatici. Questi dati comprendono documenti office ma anche chiavi di crittografia, configurazioni Vpn, chiavi Ssh (che servono come mezzi di identificazione di un utente su un server Ssh) e file Rdp (utilizzati da Client Remote Desktop per aprire automaticamente una connessione su un computer riservato).
“Diverse ragioni ci portano a credere che questa possa essere una campagna sponsorizzata da Stati-Nazioni – ha dichiarato Costin Raiu, Director of the Global Research and Analysis Team (GReAT), Kaspersky Lab –. Prima di tutto, abbiamo riscontrato un livello di professionalità molto alto nelle procedure operative del gruppo che sta dietro all’attacco. Dalla gestione dell’infrastruttura fino all’arresto delle operazioni, evitando di attirare l’attenzione attraverso le regole di accesso e utilizzando wiping al posto della cancellazione dei file di log. Questa combinazione rende questo Apt ancora più sofisticato rispetto a Duqu, diventando una delle minacce più avanzate in questo momento”.
Per leggere il report completo con la descrizione dettagliata degli strumenti nocivi e delle statistiche, insieme agli indicatori di compromissione, clicca qui. Sono inoltre disponibili le Faq complete.
