最高級(jí)網(wǎng)絡(luò)間諜“面具”的最新發(fā)現(xiàn)

日前，隨著知名信息安全廠商卡巴斯基實(shí)驗(yàn)室在2014年安全分析師峰會(huì)上將一份爆炸性調(diào)查報(bào)告公之于眾，一個(gè)名為“面具”（The Mask，又稱為Careto）的全球網(wǎng)絡(luò)間諜攻擊行動(dòng)進(jìn)入了大眾的視野，在全球范圍內(nèi)引起了熱議?！懊婢摺钡陌l(fā)起者被指使用西班牙語，通過跨平臺(tái)惡意軟件工具對(duì)政府機(jī)構(gòu)、能源、石油和天然氣公司以及其他受害者發(fā)動(dòng)攻擊。“面具”的發(fā)現(xiàn)者卡巴斯基實(shí)驗(yàn)室，在過去的二十年間一直致力于保障全球網(wǎng)絡(luò)安全，在網(wǎng)絡(luò)攻擊活動(dòng)的檢測(cè)與防御方面始終處于領(lǐng)先地位，曾率先發(fā)現(xiàn)“火焰”、“紅色十月”、NetTravel、Kimsuky等網(wǎng)絡(luò)間諜行動(dòng)，并在極短的時(shí)間內(nèi)提供相應(yīng)的解決方案。

然而，與以往所發(fā)現(xiàn)的攻擊活動(dòng)有所不同的是，“面具”被該實(shí)驗(yàn)室認(rèn)為是“迄今為止最高級(jí)的全球網(wǎng)絡(luò)間諜行動(dòng)”，并稱“攻擊者所使用的工具極為復(fù)雜”。根據(jù)目前卡巴斯基實(shí)驗(yàn)室的發(fā)現(xiàn)與分析，這些言論有理有據(jù)，絕非危言聳聽?！懊婢摺本哂幸韵绿攸c(diǎn)：

隱匿時(shí)間之久

“面具”攻擊行動(dòng)由使用西班牙語的攻擊者所展開，這本身在APT攻擊中已屬罕見。此外，有些Careto樣本編譯于2007年。換言之，該攻擊至少從2007年就已經(jīng)開始，并一直持續(xù)到2014年1月。

董事會(huì)主席兼CEO尤金·卡巴斯基在其推特上這樣寫道，“在卡巴斯基實(shí)驗(yàn)室公布了‘面具’相關(guān)信息的四個(gè)小時(shí)后，該攻擊行動(dòng)就停止了?！?/p>

疑有政府撐腰

根據(jù)卡巴斯基實(shí)驗(yàn)室目前掌握的信息，卡巴斯基實(shí)驗(yàn)室全球研究和分析團(tuán)隊(duì)（GReAT）總監(jiān)Costin Raiu表示，“多種原因讓我們覺得這次攻擊行動(dòng)是一次由政府和國家資助的攻擊行動(dòng)。首先，我們觀察到這種攻擊背后的集團(tuán)執(zhí)行攻擊步驟的專業(yè)程度非常高。包括基礎(chǔ)設(shè)施的管理、攻擊行動(dòng)的終止、以及采用訪問規(guī)則而不是刪除日志文件來避免其他用戶發(fā)現(xiàn)攻擊。結(jié)合上述種種表現(xiàn)，使得這次高級(jí)可持續(xù)性攻擊（APT）在復(fù)雜性方面遠(yuǎn)超過Duqu攻擊，令其成為迄今為止最為高級(jí)和復(fù)雜的威脅，這種水平的安全操作對(duì)于網(wǎng)絡(luò)犯罪集團(tuán)來說是不正常的”。

入侵范圍之廣

這樣一個(gè)高水平的攻擊行動(dòng)在過去的7年時(shí)間里究竟在全球范圍內(nèi)造成了多大規(guī)模的影響呢？

根據(jù)卡巴斯基實(shí)驗(yàn)室發(fā)布的一組數(shù)據(jù)，我們可以找到答案。在超過1000個(gè)IP中，卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)超過380個(gè)不同的受害者。此外，還發(fā)現(xiàn)這一針對(duì)性攻擊的受害者遍布全球31個(gè)國家，包括：阿爾及利亞、阿根廷、比利時(shí)、玻利維亞、巴西、中國、哥倫比亞、哥斯達(dá)黎加、古巴、埃及、法國、德國、直布羅陀、瓜地馬拉、伊朗、伊拉克、利比亞、馬來西亞、墨西哥、摩洛哥、挪威、巴基斯坦、波蘭、南非、西班牙、瑞士、突尼斯、土耳其、英國、美國和委內(nèi)瑞拉。其中，來自摩洛哥、巴西、英國等三個(gè)國家的受害者數(shù)量居于榜首。

這次攻擊行動(dòng)的主要目標(biāo)是政府機(jī)構(gòu)、外交機(jī)構(gòu)和大使館、能源、石油和天然氣公司、研究機(jī)構(gòu)以及活躍人士。

攻擊者的主要目的是從受感染系統(tǒng)收集敏感數(shù)據(jù)。這些數(shù)據(jù)不僅僅限于公司文檔，還包括加密密鑰、VPN配置、SSH密匙（做為SSH服務(wù)器識(shí)別用戶的憑證）和RDP文件（遠(yuǎn)程桌面客戶端使用其自動(dòng)連接專門的計(jì)算機(jī)）。

后果非常嚴(yán)重

據(jù)悉，攻擊者使用的工具的復(fù)雜性和通用性使得這次網(wǎng)絡(luò)間諜攻擊行動(dòng)非常特殊。包括使用高端的漏洞利用程序、極度復(fù)雜的惡意軟件、rootkit、bootkit功能以及Mac OS X和Linux版本惡意軟件，甚至包含安卓和iOS版本惡意軟件。此外，“面具”還會(huì)針對(duì)卡巴斯基實(shí)驗(yàn)室產(chǎn)品進(jìn)行定制化攻擊。

對(duì)受害者來說，感染Careto惡意軟件是一場(chǎng)災(zāi)難。Careto會(huì)攔截所有通訊渠道，從受害者計(jì)算機(jī)上收集重要的信息。對(duì)該惡意軟件進(jìn)行檢測(cè)非常困難，因?yàn)槠渚哂须[蔽的rootkit功能以及額外的網(wǎng)絡(luò)間諜模塊。

根據(jù)卡巴斯基實(shí)驗(yàn)室的分析報(bào)告，“面具”攻擊行動(dòng)依賴于魚叉式釣魚攻擊郵件，其包含指向惡意網(wǎng)站的鏈接。惡意網(wǎng)站包含多種漏洞利用程序，能根據(jù)不同的系統(tǒng)配置感染訪問者。一旦成功感染，惡意網(wǎng)站會(huì)將用戶重定向到郵件中所指的良性網(wǎng)站，如YouTube中的一段影片或某個(gè)新聞門戶網(wǎng)站。

卡巴斯基實(shí)驗(yàn)室的產(chǎn)品目前已經(jīng)能夠檢測(cè)和清除所有已知版本的“面具”/Careto惡意軟件。