Investigadores de Kaspersky Lab descubrieron una amenaza altamente sofisticada utilizada en operaciones de ciber espionaje global desde, al menos, 2007. La herramienta probablemente fue desarrollada en un país de habla hispana.

Esta Amenaza Avanzada Persistente (APT por sus siglas en inglés) tiene por nombre clave The Mask o Careto. Lo que le hace realmente especial es la complejidad del conjunto de herramientas utilizadas por los atacantes, mismas que incluyen piezas de malware extremadamente sofisticadas, rootkit y bootkit, versiones para MAC OS X y Linux y posiblemente versiones para Android y iOS.

Los principales objetivos en las actividades de espionaje incluyen a instituciones gubernamentales, oficinas diplomáticas y embajadas, compañías dedicadas a la generación de energía, incluyendo petróleo y gas, organizaciones dedicadas a la investigación y activistas. Las víctimas de estos ataques dirigidos se encuentran en 31 países alrededor del mundo, en regiones desde Medio Oriente y Europa hasta África y América.

El principal objetivo de los atacantes es recopilar información sensible de los sistemas infectados, incluyendo documentos, llaves de cifrado, archivos de configuración de redes VPN, llaves SSH, y archivos RDP, usados para establecer conexiones vía escritorio remoto de manera automática.

Los investigadores de Kaspersky Lab se percataron inicialmente de la existencia de Careto debido a que el año pasado observaron intentos de explotar una vulnerabilidad en los productos de la compañía que fue solucionada hace cinco años. La vulnerabilidad atacada permitía que un exploit deshabilitara la detección para una pieza de malware, el hecho de que se intentará atacar una vulnerabilidad de hace cinco años llamó la atención al equipo de Kaspersky y fue así que inició la investigación.

Para las víctimas, una infección con Careto puede ser desastroso. Careto interviene todos los canales de comunicación y recolecta la información más importante de la computadora víctima. La detección es extremadamente difícil debido al rootkit que utiliza, así como las funcionalidades añadidas y los módulos de ciberespionaje.

Entre los puntos más importantes de la investigación se encuentran:

• Los autores parecen ser de habla hispana, algo poco visto en caso de ataques que involucran APT.
• La campaña de espionaje estuvo activa durante al menos cinco años hasta enero de 2014. 
• Algunas muestras de Careto fueron compiladas en 2007.
• Durante la investigación de Kaspesky, los servidores usados como consola de control fueron deshabilitados.
• Se identificaron 380 víctimas únicas y más de mil direcciones IP.
• Se identificaron infecciones en: México, Alemania, Argelia, Argentina, Bélgica, Bolivia, Brasil, China, Colombia, Costa Rica, Cuba, Egipto, España, Estados Unidos, Francia, Gibraltar, Guatemala, Irán, Iraq, Libia, Malaysia, Marruecos, Noruega, Paquistán, Polonia, Reino Unido, Sudáfrica, Suiza, Túnez, Turquía y Venezuela.
• La complejidad del conjunto de herramientas usados por los atacantes incluyen exploits y malware extremadamente sofisticados, rootkits y bootkits, versiones para MAC OS X y Linux, posiblemente versiones para iOS y Android y un ataque personalizado a los productos de Kaspesky Lab.
• Entre los vectores de ataque se identificó al menos un exploit para una vulnerabilidad en Adobe Flash Player (CVE-2012-0773) diseñados para versiones anteriores a Flash 10.3 y 11.2. Mismo exploit que originalmente fue descubierto por VUPEN y fue usado para ganar la competición Pwn2Own en 2012, el exploit permite escapar de la sandbox de Google Chrome.

Métodos de infección y funcionalidad

La campaña de The Mask se basa en ataques de phishing dirigidos, donde los correos elaborados contienen ligas a un sitio malicioso. El sitio malicioso aloja diferentes exploits destinados a infectar al visitante según la configuración de su sistema. Después de una infección exitosa, el sitio malicioso redirige a la víctima al sitio legítimo mencionado en el correo, que puede ser un video en YouTube o un portal de noticias, por ejemplo.

Es importante hacer notar que los sitios web vulnerados utilizados para infectar a los destinatarios de los correos phishing no infectan de manera automática a sus visitantes, debido a que los atacantes ubican los archivos maliciosos en directorios específicos dentro del sitio web, mismos que no son referenciados en ninguna otra parte del sitio, las referencias se incluyen sólo en los correos phishing. En algunas ocasiones, los atacantes utilizan subdominios en los sitios web vulnerados para hacerlos parecer más reales. Estos subdominios simulan subsecciones de portales de noticias españoles, así como diarios internacionales como The Guardian y The Washington Post.

Careto es un sistema altamente modular, tiene soporte para el uso de complementos y archivos de configuración, lo que le permite realizar un gran número de funciones. Adicionalmente, tiene la capacidad de ser actualizado de manera remota para realiza nuevas tareas.

El reporte completo que incluye todos los aspectos técnicos del análisis de este APT fue publicado por Kaspersky Lab y puede ser consultado aquí.