Kaspersky atskleidė „The Mask“

Praeitą savaitę Kaspersky kibernetinio saugumo ekspertai paskelbė migloto turinio žinutę apie piktybinį kodą, kurį jie vadino „The Mask“ ir kurį įvardino „pažangiausią dabar egzistuojantį pavojų“.

Iki vakar dienos saugumo analitikų suvažiavimo, Kaspersky neskelbė papildomos informacijos apie atrastą „The Mask“ kodą. Studijuojant Kaspersky dokumentą pavadintą „Unveiling ‘Careto’ – the masked APT kyla didelių abejonių ar dėl Kaspersky teiginių bei jų, kaip kibernetinės erdvės saugimo bendruomenės narių atsakomybės.

Pirmoje eilėje pažiūrėkime į Mac skirtos kodo versijos Kaspersky aprašymą. Didesnė dokumento dalis skirta Windows versijos apibūdinimui, kurioje daugiau nei 10 puslapių skirta įdiegimui Windows aplinkoje. Mac versijos aprašymas telpa dviejuose puslapiuose su keliais skaičiais ir lentele.

Piktybinis Mac versijos kodas sistemoje nusėda (pvz. yra įdiegtas) failu pavadintu banner.jpg, kuris yra 32-bitų paleidžiamas failas, o ne JPEG tipo paveiksliukas, kokiu bando apsimesti. Nėra aišku kokiu būdu šis failas patenka į sistemą ir kaip jis atidaromas. Anksčiau dokumente yra minima „phishing“ tipo elektroniniai laiškai nutaikyti į konkretų asmenį ar asmenų grupę, kuriuose yra nuorodos į interneto svetaines turinčias šį neva paveiksliuko failą. Taip pat Kaspersky yra minimos ir Java saugumo spraga (CVE–2011–3544) bei Adobe Flash Player saugumo spraga (CVE–2012–0773), kurias neva naudojamos piktybinio kodo įdiegimui sistemoje. Abi šios saugumo spragos yra užlopytos dar 2012 metais ar anksčiau ir tos Java ir Flash versijos, kurios šias saugumo spragas turi negali būti paleistos teisingai atnaujintuose Mac kompiuteriuose su OS X 10.6 ar naujesnėmis OS X versijomis.

Kaspersky gana detaliai aprašo MD5 kontrolines kodo sumas, kas yra standartas tokio tipo informacijai, leidžiančiai kitiems aptikti tokio tipo failus ir juos patyrinėti, tačiau VirusTotal tokios kontrolinės sumos paieškos rezultatai nieko neduoda. Matyt Kaspersky neturėjo nuotaikos pasidalinti šia informacija su likusia bendruomenės dalimi. Panašu, kad Kaspersky patys nėra matę visų šio kodo komponentų ir nežino nei vienos svetainės, kuriame šį kodą galima būtų rasti.

Tai kaip kodas įdiegiamas sistemoje aprašymas taip pat labai miglotas. Be to, kad kodas nukopijuoja Safari į paslėptą vietą ir joje save įdiegia bei atlieka atitinkamus įrašus LaunchAgent, nėra aišku ar jis tai padaro tam, kad įsitikinti kad ši Safari versija yra visada paleista ar apsimeta Safari vietoje tikros naršyklės versijos ar tik modifikuoja foniniame režime veikiantį procesą. Migloti ir su Firefox naršykle, Android bei iOS susiję paminėjimai.

Kaip ten bebūtų, „The Mask“ arba „Careto“ prisijungia prie vyriausybių užsakymu sukurtų kibernetinių kenkėjų, tokių kaip Stuxnet, Flame, Duqu, Red October, Icefog ir Gauss panteono.

Ekspertai sako, kad nukentėjusių nuo „The Mask“ skaičius nuo 2007 metų yra 380 aukų 31-oje šalyje (žodžiu juokingas).