Xakep #305. Многошаговые SQL-инъекции
Исследовательское подразделение «Лаборатории Касперского» Global Research and Analysis Team (GREAT) сделало сенсационную находку: шпионское программное обеспечение на компьютерах более 380 организаций по всему миру. На некоторых компьютерах программа работала более пяти лет (!), прежде чем ее обнаружили в январе 2014 года. «Касперский» вышел на след программы в прошлом году, когда заметил попытки эксплуатации уязвимостей в старых версиях своего антивируса. Тогда и началось расследование.
Это уже не первая программа для таргетированного шпионажа, жертвами которого становятся стратегически важные частные компании, правительственные органы, дипломатические учреждения и политические активисты. Выбор мишеней и высочайший профессионализм авторов программы, которая по сложности превосходит даже Duqu, практически однозначно указывают на заказчика в правительстве. Прежние шпионские кампании приписывали Китаю и США, но нынешняя программа под названием Careto («Маска», с исп. яз.), скорее всего, написана испаноязычными хакерами. Испанский язык очень редко встречается в инструментах для таргетированных атак.
Особенность «Маски» — очень высокая сложность модулей, среди которых руткит, буткит, модули для Mac OS X и Linux и, вероятно, версии для Android и iOS (iPad/iPhone). После проникновения на компьютеры программа собирает и отправляет на удаленный сервер любую конфиденциальную информацию, которую сможет найти: офисные документы, конфигурации VPN, ключи SSH, файлы RDP, другие ключи шифрования и проч., отслеживая все каналы коммуникаций.
FAQ от подразделения GREAT
Что делает Careto? Что происходит после заражения компьютера?
Для жертв заражение компьютеров программой Careto может быть катастрофическим. Зловред перехватывает различные каналы обмена информацией и собирает наиболее важную информацию из зараженной системы. Обнаружить Careto чрезвычайно сложно, программа эффективно скрывает свое присутствие в системе. Вдобавок ко встроенным функциям операторы Careto могут загружать дополнительные модули, с помощью которых можно выполнять любую вредоносную задачу. Учитывая, какие организации попали в список жертв, можно утверждать, что последствия вредоносного воздействия могут быть очень серьезными.
Как Careto заражает компьтеры?
Обнаруженная нами кампания строится на рассылке целевых фишинговых сообщений, содержащих ссылки на вредоносный веб-сайт. Вредоносный сайт содержит ряд эксплойтов, которые должны заразить компьютер пользователя с учетом конфигурации его системы. После заражения компьютера вредоносный сайт перенаправляет пользователя на легитимный сайт, который упоминался в письме – это может быть YouTube или новостной портал.
Следует отметить, что веб-сайты с эксплойтами не заражают компьютеры пользователей автоматически. Вместо этого киберпреступники размещают эксплойты в определенных папках на веб-сайте, прямые ссылки на которые присутствуют только во вредоносных сообщениях и больше нигде. Иногда на вредоносных веб-страницах киберпреступники создают подразделы, чтобы придать странице вид легитимного ресурса. Эти подразделы имитируют веб-страницы главных газет Испании и некоторых известных газет других стран, таких как The Guardian и The Washington Post.
Используют ли киберпреступники в этих атаках какие-либо 0-day уязвимости?
Мы наблюдали несколько векторов заражения. В их числе — по крайней мере один эксплойт к уязвимости в Adobe Flash Player (CVE-2012-0773). Этот эксплойт предназначен для версий Flash Player до 10.3 и 11.2.
Уязвимость CVE-2012-0773 была обнаружена компанией VUPEN и имеет интересную историю. Эксплойт к этой уязвимости впервые взломал «песочницу» Chrome. В 2012 году он использовался в конкурсе хакеров CanSecWest Pwn2Own командой VUPEN, которая и выиграла конкурс. Эксплойт стал причиной полемики, поскольку команда VUPEN отказалась раскрыть, как она смогла обойти «песочницу» Chrome, заявив, что компания планирует продать эксплойт своим клиентам. Возможно, группа, создавшая Careto, приобрела эксплойт у VUPEN (см. историю Райана Нарейна).
Среди других использованных векторов атак — социальная инженерия: пользователя просят загрузить и выполнить файл JavaUpdate.jar, чтобы установить плагин к браузеру Chrome. Мы полагаем, что существуют и другие эксплойты, но мы не смогли их извлечь с вредоносного сервера.
Только ли Windows-системам угрожает Careto? Какие версии Windows под ударом? Есть ли варианты зловреда для Mac OS X и Linux?
На сегодняшний день мы обнаружили троянцев, предназначенных для заражения компьютеров, работающих под Microsoft Windows и Mac OS X. Некоторые пути на сервере с эксплойтами содержат модули, по всей видимости разработанные для заражения Linux-систем, но версию бэкдора под Linux мы пока не обнаружили.
Мы полагаем, что существует версия бэкдора под iOS, но пока не смогли его обнаружить. Наше предположение основывается на анализе журнала отладки одного из командных серверов. В этом журнале записано, что одна из жертв в Аргентине использует User Agent строку "Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B329". Эта запись может говорить о том, что жертвой стал iPad, но без образца зловреда сложно говорить об этом со всей определенностью.
Кроме того, мы полагаем, что существует версия под Android. Это подозрение основывается на существовании уникального идентификатора версии "AND1.0.0.0", который был отправлен на командный сервер. Соединение с этим уникальным идентификатором производилось по 3G-сетям – это указывает на то, что это было мобильное устройство.
Командный сервер «Маски» все еще активен? Удалось ли провести в отношении какого-либо C&C процедуру sinkhole?
В настоящий момент все известные командные серверы «Маски» неактивны. Злоумышленники начали переводить их в офлайн в январе этого года. Нам удалось провести процедуру sinkhole над несколькими серверами, что позволило нам собрать статистику их работы.
Что конкретно было украдено с атакованных компьютеров?
Зловред собирал обширный список документов с инфицированных систем, а также ключи шифрования, файлы конфигурации VPN служб и RDP, ключи SSH. Также мы обнаружили несколько неизвестных расширений, которые, как мы предполагаем, могут являться инструментами шифрования правительственного или военного уровня.
Ниже приведен полный список собранных файлов из проанализированных нами конфигураций:
*.AKF, *.ASC, *.AXX, *.CFD, *.CFE, *.CRT, *.DOC, *.DOCX, *.EML, *.ENC, *.GMG, *.GPG, *.HSE, *.KEY, *.M15, *.M2F, *.M2O, *.M2R, *.MLS, *.OCFS, *.OCU, *.ODS, *.ODT, *.OVPN, *.P7C, *.P7M, *.P7Z, *.PAB, *.PDF, *.PGP, *.PKR, *.PPK, *.PSW, *.PXL, *.RDP, *.RTF, *.SDC, *.SDW, *.SKR, *.SSH, *.SXC, *.SXW, *.VSD, *.WAB, *.WPD, *.WPS, *.WRD, *.XLS, *.XLSX
Кто стоит за всем этим?
Определение авторства – сложная задача. В интернете довольно сложно точно установить источник атаки, когда за ней стоит профессиональный злоумышленник.
Некоторые улики, например использование испанского языка, ненадежны, поскольку на испанском говорят во многих странах, в том числе в Латинской Америке и Соединенных Штатах (например, в Майами, где существует большое испаноговорящее сообщество).
Мы также должны учитывать возможность проведения атак «под чужим флагом», что не дает нам право считать кого-либо ответственным, пока не появятся очень веские доказательства.
Были ли использованы какие-нибудь новые/продвинутые технологии?
Windows-бэкдор невероятно сложный, атакующие использовали некоторые технологии, чтобы сделать свою атаку незаметнее, в том числе внедрение в системные библиотеки, а также попытки атак старых версий продуктов «Лаборатории Касперского» с целью предотвращения детектирования.
Кроме того, эксплойты направлены на многие системы, в том числе Mac OS X и Linux. Другая технология тоже весьма необычна: коммуникация между модулями шелл-кодов эксплойтов осуществляется посредством cookie-данных.
Все ли варианты этого вредоносного ПО детектирует «Лаборатория Касперского»?
Да. Наши продукты обнаруживают и удаляют все известные версии, используемые злоумышленниками. Они детектируются как
- Trojan.Win32/Win64.Careto.*
- Trojan.OSX.Careto
Существуют ли индикаторы взлома (Indicators of Compromise, IOCs), помогающие идентифицировать внедрение?
Да, все данные IOC включены в детальный технический отчет.
«Лаборатория Касперского» нарисовала инфографику, чтобы одним взглядом оценить масштаб заражений, цели шпионажа и годы создания модулей программы. Различные варианты Careto имеют разные метки времени, которые ставятся при компиляции. Самые ранние относятся к 2007 г. Большая часть модулей была создана в 2012 году.