비디오: [íì´í¸ë³´ë]ê°ìí íê²½ì ì¤í ë¦¬ì§ âIP SANâì ì ííë ì´ì (십월 2024)
카스퍼 스키 랩 연구원은 현재까지 가장 정교한 도구를 사용하여 전 세계 정부, 에너지, 석유 및 가스 조직에 대한 사이버 스파이 활동을 발견했습니다. 회사는 작전이 국가-국가의 공격이라는 소문을 모두 가지고 있다고 말했다.
카스퍼 스키 랩의 글로벌 리서치 및 분석 팀 책임자 인 Costin Raiu와 그의 팀은 월요일 카스퍼 스키 랩 보안 분석가 서밋에서 "마스크"에 대한 세부 사항을 공개하지 않았습니다. Windows, Mac OS X 및 Linux 이 팀은 안드로이드와 iOS 버전의 악성 코드가 사용될 수도 있다고 말했다. 모든 지표에 따르면 The Mask는 엘리트 국가 국가 캠페인이며 그 구조는 Stuxnet과 관련된 Flame 캠페인보다 훨씬 정교합니다.
"이것은 내가 본 최고 중 하나입니다. 이전에는 최고의 APT 그룹이 Flame의 배후에 있었지만 이제는 인프라 관리 방식과 위협에 대한 대응 방식, 반응 속도 및 전문성 속도로 인해 의견이 바뀌 었습니다. 라이 우가 말했다. 마스크는 "화염과 지금까지 본 것 이외의 것"을 넘어갑니다.
이 작전은 약 5 년간 탐지되지 않았으며 정부 기관, 외교관 및 대사관, 연구소 및 활동가에 속하는 1, 000 개가 넘는 대상 IP 주소 중 약 380 명의 피해자에게 영향을 미쳤습니다. 알제리, 아르헨티나, 벨기에, 볼리비아, 브라질, 중국, 콜롬비아, 코스타리카, 쿠바, 이집트, 프랑스, 독일, 지브롤터, 과테말라, 이란, 이라크, 리비아, 말레이시아, 멕시코, 모로코 등 영향을받는 국가 목록이 길다. 노르웨이, 파키스탄, 폴란드, 남아프리카, 스페인, 스위스, 튀니지, 터키, 영국, 미국 및 베네수엘라
마스크 포장 풀기
Careto라는 마스크는 문서 및 암호화 키, VPN (가상 사설망) 구성 정보, SSH (Secure Shell) 키 및 원격 데스크톱 클라이언트 용 파일을 훔칩니다. 또한 로그에서 해당 활동의 흔적을 지 웁니다. 카스퍼 스키 랩은 맬웨어가 모듈 식 아키텍처를 가지고 있으며 플러그인과 구성 파일을 지원한다고 말했다. 새 모듈로 업데이트 할 수도 있습니다. 이 악성 코드는 또한 이전 버전의 카스퍼 스키 보안 소프트웨어를 악용하려고 시도했습니다.
라이 우는 "우리 부품 중 하나를 숨기려고 남용하려고한다"고 말했다.
공격은 여러 익스플로잇을 호스팅하는 악의적 인 URL에 대한 링크가 포함 된 스피어 피싱 이메일로 시작하여 궁극적으로 사용자를 메시지 본문에 참조 된 합법적 인 사이트로 전달합니다. 이 시점에서 공격자는 감염된 시스템의 통신을 제어 할 수 있습니다.
공격자는 Adobe Flash Player의 취약성을 대상으로하는 공격을 사용하여 공격자가 Chrome에서 샌드 박스를 우회 할 수있게했습니다. 이 취약점은 2012 년 CanSecWest에서 Pwn2Own 컨테스트에서 프랑스 취약점 브로커 VUPEN에 의해 처음 악용되었습니다. VUPEN은 공격을 수행 한 방법에 대한 세부 정보 공개를 거부했으며 고객을 위해 공격을 저장하기를 원했습니다. Raiu는 The Mask에 사용 된 익스플로잇은 VUPEN과 동일하다고 밝히지 않았지만 동일한 취약점임을 확인했습니다. 라이 우는“아마도 착취를 당할 것”이라고 말했다.
VUPEN은 "#Mask에 대한 공식 선언은 익스플로잇이 우리의 것이 아니라 아마도 # Pwn2Own 이후에 Adobe가 발표 한 패치를 발견하여 발견 된 것"이라고 말하면서이 익스플로잇이이 작업에서 사용 된 것을 거부하기 위해 트위터로 가져갔습니다. 다시 말해, 공격자들은 패치 된 Flash Player를 패치되지 않은 에디션과 비교하여 차이점을 찾아 내고 익스플로잇의 특성을 추론했습니다.
마스크는 지금 어디에 있습니까?
카스퍼 스키가 지난주 블로그에 The Mask 티저를 게시했을 때, 공격자들은 작전을 중단하기 시작했다고 라이 우는 말했다. Kaspersky가 티저를 게시 한 후 4 시간 이내에 공격자가 인프라를 종료 할 수 있다는 사실은 공격자가 실제로 전문적이라고 지적했다고 AlienVault Labs의 리서치 책임자 인 Jaime Blasco는 말했습니다.
Kaspersky Lab은 운영과 관련된 명령 및 제어 서버를 종료하고 Apple은 Mac 버전의 익스플로잇과 관련된 도메인을 종료했지만 Raiu는 이것이 전체 인프라의 "스냅 샷"이라고 생각합니다. 라이 우는“우리는 그들의 운영에있어 매우 좁은 창을보고있는 것 같다”고 말했다.
침입자가 스페인어를 사용하는 국가 출신이라는 코드에 스페인어로 된 의견이 있었기 때문에 라이 우는 공격자가 다른 언어를 적기로 쉽게 사용하여 조사관을 추적하지 못하게 할 수 있다고 지적했습니다. 마스크는 지금 어디에 있습니까? 우리는 모른다.
