揭秘高級網絡間諜“面具”

日前，隨著卡巴斯基實驗室在今年安全分析師峰會上將一份爆炸性調查報告公之于眾，一個名為“面具”（The Mask，又稱為Careto）的全球網絡間諜攻擊行動進入了大眾的視野，在全球范圍內引起了熱議。“面具”的發起者被指使用西班牙語，通過跨平臺惡意軟件工具對政府機構、能源、石油和天然氣公司以及其他受害者發動攻擊。

然而，與以往所發現的攻擊活動有所不同的是，“面具”被該實驗室認為是“迄今為止最高級的全球網絡間諜行動”，并稱“攻擊者所使用的工具極為復雜”。

“面具”攻擊行動由使用西班牙語的攻擊者所展開，這本身在APT攻擊中已屬罕見。此外，有些Careto樣本編譯于2007年。換言之，該攻擊至少從2007年就已經開始，并一直持續到2014年1月。

卡巴斯基實驗室全球研究和分析團隊（GReAT）總監Costin Raiu表示，“多種原因讓我們覺得這次攻擊行動是一次由政府和國家資助的攻擊行動。首先，我們觀察到這種攻擊背后的集團執行攻擊步驟的專業程度非常高。包括基礎設施的管理、攻擊行動的終止、以及采用訪問規則而不是刪除日志文件來避免其他用戶發現攻擊。結合上述種種表現，使得這次高級可持續性攻擊（APT）在復雜性方面遠超過Duqu攻擊，令其成為了迄今為止最為高級和復雜的威脅，這種水平的安全操作對于網絡犯罪集團來說是不正常的”。

這樣一個高水平的攻擊行動在過去的7年時間里究竟在全球范圍內造成了多大規模的影響呢？

根據卡巴斯基實驗室發布的一組數據顯示，這一針對性攻擊的受害者遍布全球31個國家，包括：阿爾及利亞、阿根廷、比利時、玻利維亞、巴西、中國、哥倫比亞、哥斯達黎加、古巴、埃及、法國、德國、直布羅陀、瓜地馬拉、伊朗、伊拉克、利比亞、馬來西亞、墨西哥、摩洛哥、挪威、巴基斯坦、波蘭、南非、西班牙、瑞士、突尼斯、土耳其、英國、美國和委內瑞拉。其中，來自摩洛哥、巴西、英國等三個國家的受害者數量居于榜首。

這次攻擊行動的主要目標是政府機構、外交機構和大使館、能源、石油和天然氣公司、研究機構以及活躍人士。

攻擊者的主要目的是從受感染系統收集敏感數據。這些數據不僅僅限于公司文檔，還包括加密密鑰、VPN配置、SSH密匙（做為SSH服務器識別用戶的憑證）和RDP文件（遠程桌面客戶端使用其自動連接專門的計算機）。

據悉，攻擊者使用的工具的復雜性和通用性使得這次網絡間諜攻擊行動非常特殊。包括使用高端的漏洞利用程序、極度復雜的惡意軟件、rootkit、bootkit功能以及Mac OS X和Linux版本惡意軟件，甚至包含安卓和iOS版本惡意軟件。此外，“面具”還會針對卡巴斯基實驗室產品進行定制化攻擊。

對受害者來說，感染Careto惡意軟件是一場災難。Careto會攔截所有通訊渠道，從受害者計算機上收集重要的信息。對該惡意軟件進行檢測非常困難，因為其具有隱蔽的rootkit功能以及額外的網絡間諜模塊。

根據卡巴斯基實驗室的分析報告，“面具”攻擊行動依賴于魚叉式釣魚攻擊郵件，其中包含指向惡意網站的鏈接。惡意網站包含多種漏洞利用程序，能夠根據不同的系統配置感染訪問者。一旦成功感染，惡意網站會將用戶重定向到郵件中所指的良性網站，如YouTube中的一段影片或某個新聞門戶網站。