Вести.net "Лаборатория Касперского" раскрыла детали "Маски"

"Лаборатория Касперского" сообщила об обнаружении самой современной и сложной киберугрозы из когда-либо рассекреченных. Компания раскрыла детали борьбы против шпионской программы под названием "Маска" (или Careto — это на испанском), потому что этот инструмент создали, как считают эксперты Касперского, испаноязычные злоумышленники. Ну, или люди, которые пытаются быть похожими на испанцев.

"Почему он называется "Маска" или Careto? Как оказалось, аргентинцы не очень знают это слово. При том, что в Аргентине говорят на испанском, — говорит Виталий Камлюк, ведущий антивирусный эксперт "Лаборатории Касперского". — Испанцы говорят, что это популярное слово, это сленг, обозначающий маску. Или уродливое лицо. Аргентинцы говорят, что это какое-то незнакомое им слово. Поэтому тут не совсем очевидно, не совсем понятно, к какой стране атрибуция должна проходить".

Встречаются и гораздо более жесткие слова и выражения. Например, папка с данными, украденными с компьютера одной из жертв, были закодированы фразой, обозначающей справление нужды в море. При этом эксперты Касперского почти не сомневаются, что за атаками стоит не группа вольных хакеров, а спецслужбы какой-либо страны.

"Мы думаем, что такой уровень профессионализма выходит далеко за рамки обычной киберпреступности, — отмечает Костин Райю, руководитель глобального исследовательского центра "Лаборатории Касперского". — Чтобы такого достичь, нужно иметь огромные ресурсы и работать на крупную компанию или государство. Мы полагаем, что создатели этого вируса работали на государство. И не только потому, что создали такую сложную систему, но еще и потому, что она не направлена на получение прибыли. Это то, чего хотят все киберпреступники — заработать много денег. В данном случае деньги значения не имели".

О том, что хозяева "Маски" — профессионалы высшей пробы, говорит и тот факт, что как только в "Лаборатории Касперского" анонсировали мероприятие, посвященное некой шпионской системе, не указывая почти никаких деталей, все управляющие серверы вредоносной программы были отключены в течение 4 часов. То есть на данный момент вирус или не активен или еще лучше замаскирован.

Действовала "Маска", предположительно, с 2007 года. Причем, многие ее модули были известны — они участвовали во многих так называемых "таргетированных атаках". Это когда троянец не гуляет свободно по сети и не ворует данные у кого попало, а направляется в том или ином виде конкретной жертве, чаще всего в виде письма с зараженной ссылкой. В случае с "Маской" ссылки выглядели вполне достойными доверия. Это мог быть, например, YouTube.

Но прежде, чем направить жертву на видеохостинг, ссылка забрасывала ее на несколько секунд на пустую страницу, где и происходило заражение. Кроме того, авторы "Маски" не ленились делать точные вредоносные копии вполне авторитетных сайтов на субдоменах. Так, например, копировали страницы газет Guardian и Washington Post. Ну, а после того, как заражение происходило — жертву начинали забрасывать всевозможными модулями. Их у "Маски" было великое множество, и каждый выполнял свою функцию.

Пакеты программ подбирались в каждом случае индивидуально, в зависимости от того, какими данными располагает жертва, на какие сайты заходит, наконец, какой использует антивирус. У "Маски" был отдельный модуль, который попытался взломать антивирусное приложение Касперского. Собственно, это компанию и "зацепило", заставив тщательно расследовать деятельность "Маски".

Кроме того, "Маска" работала на всех существующих операционках — Mac OS, Windows, Linux и даже, предположительно, на мобильных системах. Обмен информацией между модулями программы осуществлялся через файлы "cookie". Заразить вирус успел не менее 380 компьютеров в 31 государстве. Причем, на первом месте по числу заражений — почему-то Марокко. На втором — Бразилия, а на третьем — Великобритания. А жертвы — это люди, имеющие доступ к секретной информации.

Сотрудники государственных организаций, дипломатических офисов и посольств, энергетических и нефтегазовых компаний, исследовательских организаций, а также политические активисты. Какой объем данный в результате украден и, главное, кем — остается, как всегда, только гадать. Ясно одно — создание вирусов-шпионов на государственном уровне идет полным ходом.