Kaspersky Lab descobre "A Máscara", uma das
operações de ciberespionagem mais avançadas de
sempre
Lisboa, 12 de Fevereiro de 2014

Surge um novo factor de ameaça: os atacantes são de idioma hispânico e dirigem-se
a instituições governamentais, companhias de energia, petróleo e gás, assim como a
outras vítimas de elevado perfil

Já se contabilizaram mais de 380 vítimas únicas entre mais de 1000 IPs. As infecções
foram observadas em países como Espanha, Argentina, Brasil, Colômbia, Costa Rica,
Cuba, França, Alemanha, Gibraltar, Suíça, Tunísia, Estados Unidos ou Venezuela

Por vezes, os atacantes utilizam subdomínios nos websites para que pareçam mais
reais. Estes subdomínios simulam as secções dos principais jornais de Espanha,
bem como do "The Guardian" e do "The Washington Post"
A equipa de investigação de segurança da Kaspersky Lab anunciou a descoberta de "A Máscara"
(também conhecido como Careto), uma nova e avançada ciberameaça de fala hispânica que tem
estado envolvida em operações globais de ciberespionagem pelo menos desde o ano 2007. O que
torna especial a Máscara é a complexidade do conjunto de ferramentas utilizadas pelos atacantes.
Inclui um programa malicioso extremadamente sofisticado, um rootkit, um bootkit e versões para
Mac OS X e Linux e, possivelmente, para Android e iOS (iPad / iPhone).
Os alvos principais foram instituições governamentais, representantes diplomáticos e embaixadas,
além de companhias de energia, petróleo e gás, organizações de investigação e activistas. As
vítimas de este ataque dirigido foram detectadas em 31 países de todo o mundo - desde o Médio
Oriente e Europa a África e às Américas.
Os ciberatacantes tinham como desafio principal recolher dados sensíveis dos sistemas infectados,
incluindo diversas chaves de encriptação, configurações VPN, chaves SSH (que serve como meio
de identificação de um utilizador a um servidor SSH) e ficheiros RDP (utilizados para abrir
automaticamente uma ligação a um computador reservado).
"Existem várias razões que nos fazem acreditar que esta pode ser uma campanha patrocinada por
um Estado. Em primeiro lugar, observámos um elevado grau de profissionalismo nos
procedimentos operativos do grupo que está por detrás deste ataque: desde a gestão da infraestrutura, ao fecho da operação, evitando a detecção através de regras de acesso e da limpeza em
vez da eliminação dos ficheiros de registo. Esta combinação coloca A Máscara à frente da APT do
Duqu em termos de sofisticação, pelo que é uma de as ameaças mais avançadas neste momento”,
afirma Costin Raiu, director da Equipa de Investigação e Análise Global da Kaspersky Lab. "Este
nível de segurança operacional não é normal em grupos de cibercriminosos”.
Os investigadores da Kaspersky Lab detectaram A Máscara pela primeira vez no ano passado,
quando observaram tentativas de explorar uma vulnerabilidade nos produtos da companhia. O
exploit dava ao malware a capacidade de evitar a detecção. Como é evidente, esta situação gerou
muito interesse e foi assim que se iniciou a investigação.
Para as vítimas, uma infecção pela Máscara pode ser desastrosa já que intercepta todos os canais
de comunicação e recolhe a informação mais vital do equipamento da vítima. A detecção é
extremamente difícil devido às capacidades sigilosas do rootkit, às funcionalidades integradas e
aos módulos de ciberespionagem adicionais.
Principais conclusões:

Os autores parecem ser de origem hispânica, um facto que só muito raramente se observa
em ataques APT.

A campanha esteve activa durante pelo menos cinco anos Janeiro de 2014 (algumas
amostras da Máscara foram recolhidas em 2007). Durante o decurso das investigações da
Kaspersky Lab, os servidores de comando e controlo (C&C ) foram encerrados.

Foram contabilizadas mais de 380 vítimas únicas entre más de 1000 IPs. As infecções
foram observadas em: África do Sul, Alemanha, Argélia, Argentina, Bélgica, Bolívia, Brasil,
China, Colômbia, Costa Rica, Cuba, Espanha, Egipto, Estados Unidos, França, Gibraltar,
Guatemala, Irão, Iraque, Líbia, Malásia, Marrocos, México, Noruega, Paquistão, Polónia,
Reino Unido, Suíça, Tunísia, Turquia e Venezuela.

A complexidade e universalidade do conjunto de ferramentas utilizadas pelos atacantes
fazem com que esta operação de ciberespionagem seja muito especial. Aproveitam exploits
de alta gama, uma peça muito sofisticada de software malicioso, um rootkit, um bootkit,
versões para Mac OS X e Linux e possivelmente versões para Android e para iPad/iPhone
(iOS). A Máscara também utilizou um ataque personalizado contra os produtos da
Kaspersky Lab.

Entre os vectores de ataque, foi usado pelo menos um exploit do Adobe Flash Player (CVE2012 - 0773). Foi concebido para as versões do Flash Player anteriores às 10.3 e 11.2. Este
exploit foi descoberto originalmente pela VUPEN e utilizado em 2012 para escapar da
sandbox do Google Chrome para ganhar o concurso Pwn2Own CanSecWest.
Métodos de infecção e funcionalidades
De acordo com o relatório de análise da Kaspersky Lab, a campanha da Máscara baseia-se no
envio de mensagens de correio electrónico de phishing com links para um website malicioso. O
website malicioso contém uma série de exploits concebidos para infectar os visitantes em função
da configuração do sistema. Depois da infecção, o site malicioso redirecciona o utilizador para a
página web legítima de referência no correio electrónico, que pode ser um filme do YouTube ou um
portal de notícias.
É importante ter em conta que o exploit em websites não infecta automaticamente os visitantes. Em
vez disso, os atacantes recebem os exploits em pastas específicas no website, que não estão
directamente referenciadas em qualquer lugar, excepto em mensagens de email maliciosas. Por
vezes, os atacantes utilizam subdomínios nos websites para que pareçam mais reais. Estes
subdomínios simulam as secções dos principais jornais de alguns países, como de Espanha, além
de outros de grande renome como o "The Guardian" e o "The Washington Post".
A Máscara é um sistema altamente modular, suporta plugins e ficheiros de configuração, que lhe
permitem realizar um grande número de funções. Além das funcionalidades incorporadas, os
operadores da Máscara podiam carregar módulos adicionais que poderiam realizar qualquer tarefa
maliciosa.
Os produtos da Kaspersky Lab detectam e eliminam todas as versões conhecidas do malware a
Máscara ou Careto. Para ler o relatório completo, com uma descrição detalhada das ferramentas e
estatísticas maliciosas, bem como indicadores de ataques efectuados, visite a Securelist.
Links de utilidade:
http://newsroom.kaspersky.eu/pt/home/
Sobre a Kaspersky Lab
Kaspersky Lab é a maior empresa privada de soluções de segurança endpoint do mundo. A companhia está entre os 4
maiores fabricantes de soluções de segurança endpoint do mundo*. Ao longo dos seus mais de 15 anos de história, a
Kaspersky Lab continuou sempre a inovar em segurança TI e oferece soluções de segurança eficazes para grandes
empresas, PMES e consumidores. Actualmente, a Kaspersky Lab opera em quase 200 países e territórios de todo
mundo, oferecendo protecção a mais de 300 milhões de utilizadores. Mais informação em www.kaspersky.pt.
A empresa situa-se na quarta posição do Ranking Mundial de Fabricantes de Segurança Endpoint (por receitas) da IDC em 2011. Esta
classificação foi publicada no relatório de IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares (IDC
#235930, July 2012)”. O relatório classifica os fabricantes de software de acordo com as receitas obtidas com a venda de soluções de
segurança endpoint em 2011.
Para mais informação, contactar:
LANÇA PALAVRA
Ana Paula
Tel. +351 243107197
Mov: +351 962543653
E-mail: [email protected]
Kaspersky Lab Iberia
Vanessa González
Directora de Comunicação
Tel. +34 91 398 37 52
E-mail [email protected]
© A informação contida no presente comunicado pode ser modificada sem aviso prévio. As únicas garantias dos produtos e serviços da
Kaspersky Lab ficam estabelecidos doravante nas declarações de garantia expressa que acompanham esses produtos e serviços.
Nenhum dos conteúdos da presente poderá ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza pelos
erros técnicos ou editoriais ou omissões presentes no texto.