The Mask/Careto: APT de ciberespionaje que involucra diarios argentinos y españoles

El equipo de investigación de seguridad Kaspersky acaba de publicar los detalles sobre la APT latina “The Mask” (aka “Careto”) [PDF], una operación de propagación de malware para realizar ciberespionaje.

Los investigadores dijeron que The Mask es una herramienta de espionaje de Estado extremadamente sofisticada y modular y creen que ha estado operando desde el año 2007. Al igual que DuquFlame y Gauss esta es una operación excepcionalmente refinada, compuesta por herramientas modulares que al parecer fueron desarrolladas por programadores latinos.

Lo que hace especial al malware es la complejidad de las herramientas utilizadas por los atacantes. Incluye un programa malicioso extremadamente sofisticado, un rootkit, un bootkit, versiones de 32 y 64 bits de Windows, Mac OS X y Linux y posiblemente versiones para iPad/iPhone (Apple iOS) y Android.

Los objetivos principales de malware son instituciones gubernamentales, oficinas diplomáticas, embajadas, compañías de energía, petróleo y de gas, instituciones de investigación, firmas de capital privado y activistas de alto perfil.

Las víctimas son infectadas por correos electrónicos de phishing vinculado a subdominios que simulan sitios de Washington Post, The Guardian, YouTube, iProfesional y El País, entre otros.

El informe contabiliza 380 víctimas entre más de 1.000 IPs de Argelia, Argentina, Bélgica, Bolivia, Brasil, China, Colombia, Costa Rica, Cuba, Egipto, Francia, Alemania, Gibraltar, Guatemala, Irán, Irak, Libia, Malasia, México, Marruecos, Noruega, Pakistán, Polonia, Sudáfrica, España, Suiza, Túnez, Turquía, el Reino Unido, Estados Unidos y Venezuela. Las IP en América Latina son:

  • hxxps://wwnav.selfip.net/cgi-bin/commcgi.cgi 190.105.232.46 Argentina, Buenos Aires, “Nicolas Chiarini”
  • hxxps://nthost.shacknet.nu/cgi-bin/index.cgi 190.105.232.46 Argentina, Buenos Aires, “Nicolas Chiarini”
  • hxxps://196.40.84.94/num Costa Rica, San Jose, “Servicio Colocation Racsa”
  • hxxps://redirserver.net/num 196.40.84.94, 190.10.9.209 Costa Rica, San Jose, “Servicio Colocation Racsa”

Por otro lado, las URL falsas de los diarios de América Latina y España son los siguientes:

Como sus antecesores, “The Mask” recoge una larga lista de documentos en el sistema infectado, incluyendo las claves de cifrado, configuraciones VPN, claves SSH, PGP, y archivos RDP. También hay varias extensiones desconocidas siendo monitoreadas y que no ha sido identificadas si bien se piensa que “podrían estar relacionadas con herramientas de cifrado de nivel militar/gobierno personalizado”

En su presentación “Una mirada detrás de la máscara”, los investigadores Costin Raiu, Vitaly Kamluk y Igor Soumenkov explican que la complejidad y la universalidad de las herramientas utilizadas por los atacantes detrás de The Mask le ayuda a ganar un lugar en la historia del malware.

Fuente: Segu-Info

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s