A biztonsági vállalat szakértői szerint támadók fő célja érzékeny adatok összegyűjtése a megfertőzött rendszerekről. Ezek között megtalálhatók hivatali dokumentumok, különféle titkosítási kulcsok, VPN konfigurációk, SSH kulcsok (melyek egy felhasználó SSH szerveren való azonosítására szolgálnak) és RDP fájlok (a távoli asztalelérést biztosító szoftver által használatosak a fenntartott számítógéphez való automatikus csatlakozásra).

„Több ok miatt is úgy véljük, hogy ez egy ország által szponzorált kampány lehet. Először is igen magas fokú professzionalizmust érzékelünk a támadás mögött álló csoport tevékenységében” – mondta Costin Raiu, a Kaspersky Lab globális kutatási és elemző csapatának (GReAT) igazgatója. “Ezek közé tartozik az infrastruktúrafelügyelet, a művelet lezárása, a kíváncsi szemek elkerülése hozzáférési szabályok révén, valamint a felülírás használata a naplófájlok törlése helyett. A működési biztonság ilyen szintje nem jellemző a kiberbűnöző csoportokra.”

A Kaspersky Lab kutatói először tavaly észlelték a Careto tevékenységét, amikor azt tapasztalták, hogy kísérletek történtek egy, a vállalat termékeiben lévő, már öt éve kijavított sebezhetőség kihasználására. A kihasználó kód felismerés elleni védelemmel rendelkezett, ami felkeltette a kutatók érdeklődését, és elindult a vizsgálat.

Öt éven keresztül működött, magyar áldozatot nem azonosítottak

A kampány aktívan zajlott legalább öt éven keresztül 2014 januárjáig (egyes Careto minták 2007-ben készültek). A Kaspersky Lab vizsgálata közben a parancs és vezérlő (C&C) szervereket lekapcsolták. Az áldozatok számára a Caretóval való megfertőződés komoly következményekkel járhatott: a Careto lehallgatja az összes kommunikációs csatornát, és összegyűjti a legtöbb létfontosságú információt az áldozat gépéről.

A cég több mint 380 áldozatul esett szervezetet talált világszerte, Észak- és Dél-Amerikában, Afrikában, Ázsiában és Európában is. Magyarországi célpontja nem volt a Mask üzemeltetőinek.

Előbb az adatok, utána a teljes irányítás

A Kaspersky Lab kutatási jelentése szerint a Mask kampány célzott adathalász e-maileket használ, amelyek egy rosszindulatú webhelyre vezető linkeket tartalmaznak. A webhely több kihasználó kódot tartalmaz a látogató gépének megfertőzésére, ezeket a rendszerkonfigurációtól függően alkalmazza. A sikeres megfertőzést követően a rosszindulatú webhely átirányítja a felhasználót az e-mailben hivatkozott jóindulatú weboldalra, amely lehet egy YouTube videó vagy egy hírportál.

A Mask ezután lehallgatja az összes kommunikációs csatornát, és összegyűjti a legtöbb létfontosságú információt az áldozat gépéről. Az észlelés kivételesen nehéz a rejtőzködő toolkit képességek miatt. A Kaspersky szerint a Careto egy nagymértékben moduláris rendszer, támogatja a pluginek és konfigurációs állományok használatát, melyek révén sokféle funkció megvalósítására képes. A beépített funkcionalitás kibővítésére a Careto üzemeltetői további modulokat tölthetnek fel, amelyekkel lényegében bármilyen rosszindulatú tevékenységet végrehajthatnak.