Die Careto-/Mask-APT-Attacke: Frequently Asked Questions

Was genau ist Careto / „The Mask”?

The Mask ist ein hochentwickelter Bedrohungsakteur, der seit mindestens 2007 an Cyberspionage-Operationen beteiligt ist.

Das Besondere an The Mask ist die Komplexität der von den Angreifern eingesetzten Auswahl von Tools, die ein extrem anspruchsvolles Schadprogramm, ein Rootkit, ein Bootkit, Versionen für Mac OS X und Linux sowie mögliche Versionen für Android und iPad/iPhone (iOS) einschließt.

The Mask setzt zudem eine maßgeschneiderte Attacke gegen ältere Kaspersky Lab-Produkte ein, um sich auf diese Weise im System zu verbergen. Dadurch steht dieser APT in punkto Raffinesse noch über Duqu, und wird so zu einer der zum gegenwärtigen Zeitpunkt am höchsten entwickelten Bedrohungen. Das und einige andere Faktoren lassen uns vermuten, dass es sich um eine von einem Nationalstaat gesponserte Operation handelt.

Woher kommt der Name „The Mask“?

Die Bezeichnung "Mask" kommt von dem spanischen Slang-Ausdruck "Careto" ("Maske" oder "Hässliches Gesicht "), das der Autor in einige Module der Malware einfließen ließt.


Wer sind die Opfer? / Was können wir über die Ziele der Angriffe sagen?

Die Hauptziele von Careto fallen unter die folgenden Kategorien:

  • Regierungsinstitutionen
  • Diplomatische Einrichtungen und Botschaften
  • Energie-, Öl- und Gasunternehmen
  • Forschungsinstitutionen
  • Private Immobilienfirmen
  • Aktivisten

Ist die genaue Zahl der Opfer bekannt?

Obgleich die genaue Zahl der Opfer nicht bekannt ist, registrierten wir Opfer an über 1000 IP-Adressen in 31 Ländern. Infektionen wurden in den folgenden Ländern beobachtet: Ägypten, Algerien, Argentinien, Belgien, Bolivien, Brasilien, China, Costa Rica, Deutschland, Frankreich, Gibraltar, Guatemala, Irak, Iran, Kolumbien, Kuba, Libyen, Malaysia, Marokko, Mexiko, Norwegen, Pakistan, Polen, die Schweiz, Spanien, Südafrika, Tunesien, Türkei, USA, Venezuela und das Vereinigte Königreich.

Auf einem von uns entwickelten Identifizierungsalgorithmus basierend, zählten wir über 380 individuelle Opfer unter diesen1000+ IPs.

Bedenkt man jedoch, dass die Informationen über die Opfer nur für einige Command-und-Control-Server sowie Hosts, bei denen ein Sinkhole installiert wurde, zusammengetragen wurden, so könnte die Gesamtzahl der betroffenen Länder und individuellen Opfer wesentlich höher sein.

Was tut Careto? Was passiert, nachdem ein Zielrechner infiziert wurde?

Für die Opfer ist eine Infektion mit Careto verheerend. Die Malware schleust sich in alle Kommunikationskanäle ein und fängt alle lebensnotwendigen Informationen von einem infizierten System ab. Die Detektion ist aufgrund der Rootkit-Fähigkeiten extrem schwierig. Ergänzend zu den integrierten Funktionen können die Careto-Betreiber zusätzliche Module hochladen, die jegliche schädliche Tasks ausführen können. Ausgehend von der Art der bekannten Opfer sind die Auswirkungen überaus schwerwiegend.

Wie infiziert Careto Computer?

Die von Kaspersky Lab aufgedeckte Kampagne von The Mask fußt auf Spear-Phishing-Mails mit Links auf eine schädliche Website. Diese Website enthält eine Reihe von Exploits, die entwickelt wurden, um den Besucher in Abhängigkeit von seiner Systemkonfiguration zu infizieren. Bei erfolgreicher Infektion leitet die schädliche Website den Nutzer auf eine harmlose Website um, auf die in der E-Mail hingewiesen wird, wobei es sich um einen Film auf YouTube oder ein Nachrichtenportal handeln kann.

Wichtig dabei ist, dass die Exploit-Websites einen Besucher nicht automatisch infizieren. Die Angreifer bringen die Exploits vielmehr in speziellen Ordnern auf der Website unter, auf die nirgends direkt verwiesen wird, außer in den schädlichen E-Mails. Manchmal nutzen die Angreifer Subdomains auf den Exploit-Websites, um sie legitim erscheinen zu lassen. Diese Subdomains geben vor, Unterabteilungen der wichtigsten Tageszeitung Spaniens zu sein bzw. einiger internationaler Zeitungen, wie The Guardian und Washington Post.

Nutzen die Angreifer irgendwelche Zero-Day-Sicherheitslücken aus?

Bisher konnten wir Angriffe mit mehreren Vektoren beobachten. Das schließt mindestens ein Exploit für den Adobe Flash Player (CVE-2012-0773) ein. Das Exploit wurde für die Versionen des Flash Players früher als 10.3 und 11.2 entwickelt.

Die Sicherheitslücke CVE-2012-0773 wurde ursprünglich von VUPEN entdeckt und hat eine interessante Geschichte. Es war das erste Exploit, das die Chrome-Sandbox knackte und das beim Sieg des Contests CanSecWest Pwn2Own im Jahr 2012 benutzt wurde. Das Exploit löste gewisse Kontroversen aus, da sich das VUPEN-Team weigerte zu erklären, wie sie aus der Sandbox entkommen konnten, wobei sie behaupteten, sie planten das Exploit an ihre Kunden zu verkaufen. Es ist möglich, dass der Careto-Bedrohungsakteur das Exploit von VUPEN erworben hat.(Siehe die Geschichte von Ryan Naraine.)

Andere eingesetzte Vektoren schließen Social Engineering ein, wobei der User aufgefordert wird, eine JavaUpdate.jar-Datei herunterzuladen und auszuführen oder ein Chrome Browser-Plug-In zu installieren. Wir nehmen an, dass auch andere Exploits existieren, doch es ist uns nicht gelungen, sie von den Angriffsservern zu extrahieren.

Ist es eine reine Windows-Bedrohung? Welche Versionen von Windows werden angegriffen? Gibt es Varianten für Mac OS X oder Linux?

Bisher haben wir Trojaner für Microsoft Windows und Mac OS X beobachtet. Einige der Exploit-Server-Pfade enthalten Module, die anscheinend zur Infektion von Linux-Computern entwickelt wurden, doch wir haben bisher noch keinen Linux-Backdoor lokalisieren können. Zudem weisen einige der C&C-Logs darauf hin, dass auch Backdoors für Android und Apple iOS existieren könnten.

Gibt es irgendwelche Hinweise für eine mobile Komponente – iOS, Android oder BlackBerry?

Wir vermuten, dass ein iOS-Backdoor existiert, aber wir konnten ihn bisher noch nicht lokalisieren. Die Annahme basiert auf einem Debug-Protokoll von einem der C&C-Server, wenn die Opfer in Argentinien identifiziert und geloggt werden mit einem User Agent von „Mozilla/5.0 (iPad; CPU OS 6_1_3 wie Mac OS X) AppleWebKit/536.26 (KHTML, wie Gecko) Mobile/10B329”. Das scheint darauf hinzuweisen, dass es sich um ein iPad handelt, obwohl man sich ohne Sample nur schwerlich sicher sein kann.

Zudem vermuten wir, dass auch ein Android-Implantat existiert. Diese Annahme basiert auf einem spezifischen Versions-Identifier, der zu dem C&C-Server geschickt wird, welcher „AND1.0.0.0” ist. Es wurde Kommunikation mit diesem spezifischen Identifier über 3G-Links beobachtet, was auf ein mögliches mobiles Gerät hinweist.

Was unterscheidet diese von irgendwelchen anderen APT-Attacken?

Das Besondere an „The Mask“ ist die Komplexität der von den Angreifern eingesetzten Auswahl an Tools, die ein extrem anspruchsvolles Schadprogramm, ein Rootkit, ein Bootkit, Versionen für Mac OS X und Linux sowie mögliche Versionen für Android und iPad/iPhone (iOS) einschließt.

The Mask setzt zudem eine maßgeschneiderte Attacke gegen ältere Kaspersky Lab-Produkte ein, um sich auf diese Weise im System zu verbergen. Dadurch steht dieser APT in punkto Raffinesse noch über Duqu, und wird so zu einer der zum gegenwärtigen Zeitpunkt am höchsten entwickelten Bedrohungen. Das und einige andere Faktoren lassen uns vermuten, dass es sich um eine von einem Nationalstaat gesponserte Operation handelt.

Wie ist KL auf diese Bedrohung aufmerksam geworden? Wer hat darüber berichtet?

Erstmals aufmerksam wurden wir auf Careto, als wir Versuche beobachteten, eine Sicherheitslücke in unseren Produkten auszunutzen, um die Malware im System „unsichtbar“ zu machen.

Selbstverständlich hat das unser Interesse geweckt und unser Forschungsteam hat sich entschlossen, den Fall weiter zu untersuchen. Mit anderen Worten – die Angreifer zogen unsere Aufmerksamkeit auf sich, indem sie versuchten, Kaspersky-Lab-Produkte auszunutzen.

Obgleich die Sicherheitslücke in den Produkten gefunden und bereits vor fünf Jahren geschlossen wurde, besteht die Möglichkeit, dass es Nutzer gibt, die ihre Produkte noch nicht aktualisiert haben. In solchen Fällen kann das Exploit noch immer aktiv sein, obwohl es uns nicht davon abhalten kann, die Malware zu entfernen und das System zu säubern.

Gibt es verschiedene Varianten von Careto? Bestehen zwischen den Varianten entscheidende Unterschiede?

Careto ist ein überaus modulares System; es unterstützt Plug-Ins und Konfigurationsdateien, wodurch es ihm möglich wird, eine Vielzahl von Funktionen auszuführen.

Die Varianten von Careto haben unterschiedliche Kompilationszeitstempel, die bis in das Jahr 2007 zurückreichen. Die meisten Module wurden 2012 entwickelt.

Ist der von Careto genutzte Command-and-Control-Server noch immer aktiv? Konnte einer der C&C auf ein Sinkhole umgeleitet werden?

Zum gegenwärtigen Zeitpunkt sind alle bekannten Careto C&C-Server offline. Die Angreifer haben sie ab Januar 2014 abgeschaltet. Wir konnten zudem verschiedene C&C-Server auf ein Sinkhole umleiten. Dadurch war es uns möglich, statistische Daten zu dieser Operation zu sammeln.

Was genau wird von den angegriffenen Rechnern gestohlen?

Die Malware sammelt eine lange Liste von Dokumenten auf dem infizierten System, inklusive Chiffrierungsschlüssel, VPN-Konfigurationen, SSH-Schlüssel und RDP-Dateien. Es wurden zudem einige unbekannte Erweiterungen registriert, die wir noch nicht identifizieren konnten, und die etwas mit maßgeschneiderten Verschlüsselungstools aus dem Bereich Militär/Regierung zu tun haben könnten.

Hier die vollständige Liste der zusammengetragenen Dateien von den Konfigurationen, die wir analysiert haben:

*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,
*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,*.PDF,
*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,*.SSH,*.SXC,*.SXW,*.VSD,
*.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX

Wird diese Attacke von einem Nationalstaat gesponsert?

The Mask setzt eine maßgeschneiderte Attacke gegen ältere Kaspersky Lab-Produkte ein, um sich im System zu verbergen. Überdies beinhaltet der APT ein Rootkit, ein Bootkit, Linux/Mac-Versionen und möglicherweise eine Version für Apple iOS. Dadurch steht diese Bedrohung in punkto Raffinesse noch über Duqu, und es macht sie zu einer der derzeit am höchsten entwickelten APTs.

Zudem konnten wir einen hohen Grad an Professionalität bei den Arbeitsabläufen in der Gruppe hinter dieser Attacke beobachten, inklusive Überwachung der Infrastruktur, Abbruch der Operation, Abwenden neugieriger Augen durch Zugriffsregeln, Verwendung von Wipe anstelle von Löschen für Log-Dateien usw. Dieses Sicherheitsniveau ist nicht normal für cyber-kriminelle Gruppen.

Das und verschiedene andere Faktoren lassen uns darauf schließen, dass es sich hierbei um eine Kampagne handelt, die von einem Nationalstaat gesponsert wird.

Wer ist dafür verantwortlich?

Die Suche nach dem Schuldigen ist eine schwierige Sache. Aufgrund seines unbeständigen Charakters ist es im Internet extrem kompliziert, eine eindeutige Zuordnung zu treffen

Einige Indizien, wie die Verwendung der spanischen Sprache, sind nicht besonders aussagekräftig, da sie in vielen Ländern gesprochen wird, unter anderem in Lateinamerika, Mexiko oder den Vereinigten Staaten (beispielsweise in Miami, wo es eine große spanischsprachige Community gibt).

Man muss zudem die Möglichkeit eines Angriffs unter falscher Flagge bedenken, bevor man irgendwelche Vermutungen über die Identität des Verantwortlichen ohne wirklich handfeste Beweise anstellt.

Wie lange waren die Angreifer aktiv?

Einige Samples von Careto wurden schon im Jahr 2007 kompiliert. Die Kampagne war bis Januar 2014 aktiv, doch während unserer Nachforschungen wurden die C&C-Server abgestellt

Das sind somit mindestens 5 Jahre. Wir können nicht ausschließen, dass die Angreifer die Kampagne in Zukunft wiederbeleben werden.

Verwendeten die Angreifer irgendwelche interessanten/hoch entwickelten Technologien?

Der Windows-Backdoor ist extrem raffiniert, und die Angreifer setzten eine Reihe von Technologien ein in dem Versuch, die Attacke so besser zu verbergen. Das schließt Einschleusungen in Systembibliotheken ein sowie Versuche, ältere Kaspersky-Lab-Produkte auszunutzen, um die Erkennung zu vermeiden.

Darüber hinaus decken die Exploits alle potentiellen Zielsysteme ab, inklusive Mac OS X und Linux. Zudem erfolgt die Kommunikation zwischen den verschiedenen Shellcode-Modulen über Cookies – eine recht ungewöhnliche Technik.

Detektiert Kaspersky Lab alle Varianten dieser Malware?

Ja. Unsere Produkte erkennen und entfernen alle bekannten Versionen der von den Angreifern benutzten Malware.

Sie wird unter den folgenden Bezeichnungen detektiert:

  • Trojan.Win32/Win64.Careto.*
  • Trojan.OSX.Careto

Gibt es Indicators of Compromise (IOCs) die den Opfern helfen, den Angriff zu identifizieren?

Ja, Informationen über IOCs sind in unserem detaillierten technischen Forschungsbericht enthalten.

Den vollständigen Bericht finden Sie hier.


[Download]

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.