卡巴斯基实验室研究人员发现了被称为Careto(或者The Mask)的高级可持续性威胁(APT),他们称这个网络间谍活动可追溯到2007年,这可能是受国家资助的活动。
根据卡巴斯基实验室的博客文章显示,31个国家的政府机构、驻外机构和大使馆、研究机构、私募股份投资公司、以及能源、石油和天然气公司都是该APT的目标,主要受害者位于摩洛哥,还有一些在美国和英国。
虽然所有命令控制服务器在1月份开始离线,研究人员通过内部开发的算法在1000多个IP地址发现380个受害者。
因为并不是所有命令控制服务器都能够得到分析,研究人员表示实际受害者人数可能更高。
Seculert首席技术官Aviv Raff表示,“攻击者决定停止这个攻击活动,大概是因为他们发现他们被监控了。鉴于他们从事该活动已经有七年之久,我相信他们很快会使用不同的工具和方法继续回来攻击,瞄准类似行业的不同公司。”
研究人员并没有透露谁为这次攻击活动负责,但操作流程的专业程度让专家认为这是由国家资助的活动。
卡巴斯基高级安全研究人员Costin Raju表示,“基础设施管理、关闭操作,通过访问规则避免引起怀疑,以及使用擦除技术而不是删除日志文件。这种操作水平在犯罪团伙间并不常见。”
卡巴斯基实验室研究中心负责人Dmitry Bestuzhev认为Careto活动将会再次出现,可能以不同的名称。卡巴斯基实验室研究人员发现有人试图利用卡巴斯基产品以前修复的漏洞来使恶意软件隐身,于是发现了这个APT活动,这感染着Windows、Mac和Linux用户,可能还有iOs和Android手机用户。
该操作需要受害者点击鱼叉式钓鱼邮件中的恶意网站链接,该恶意软件收集加密密钥、VPN配置、SSH密钥和RDP文件,以及未知扩展名—这可能涉及军事或政府级加密。
根据卡巴斯基实验室表示,该恶意软件的检测名称是Trojan.Win32/Win64.Careto.*和Trojan.OSX.Careto。