شنبه, ۱۰ اسفند ۱۳۹۲
۲۲:۰۶
۸۷
چرا Mask؟
Mask ترجمه انگلیسی کلمه Careto در زبان اسپانیانی استCareto به معنی ماسک یا چهره زشت است کلمه Careto به دفعات در فایلهای مختلف و مرتبط با این عملیات جاسوسی بکار رفته و قابل مشاهده است.
قربانیان عملیات Mask
سیستمهایی که مورد حمله و نفوذ Mask قرار گرفته اند، در نهادهای دولتی، سفارتخانهها، شرکتها و مراکز نفت، گاز و پتروشیمی، مراکز تحقیقاتی، شرکتهای خصوصی مالی و سرمایه گذاری و فعالان سیاسی و اجتماعی شناسایی شده اند.
آمار قربانیان Mask
گرچه آمار دقیق و کاملی در رابطه با قربانیان این ویروس در دسترس نیست؛ ولی تاکنون بیش از یک هزار نشانی IP آلوده در 31 کشور شناسایی شده است. از جمله این کشورها، میتوان به الجزایر، آرژانتین، بلژیک، بولیوی، برزیل، چین، کوبا، مصر، فرانسه، آلمان، عراق، لیبی، مالزی، پاکستان، نروژ، سوئیس، ترکیه، انگلیس، آمریکا، ونزوئلا و همچنین ایران اشاره کرد. یک هزار نشانی آلوده که شناسایی شده اند، متعلق به 380 مرکز، شرکت و موسسه هستند. این آمار از تعدادی سرور فرماندهی Mask که شناسایی شده و همچنین از تعدادی سرور فرماندهی دروغین که توسط شرکتهای امنیتی برای جمع آوری اطلاعات راه اندازی شده، به دست آمده است
Mask چکار میکند؟
آلودگی به Mask میتواند عواقب شدیدی به همراه داشته باشد. تمامیارتباطات سیستم آلوده کنترل و اطلاعات گوناگونی از سیستم آلوده جمع آوری میشود. شناسایی فایلهای مخرب و مرتبط با Mask به دلیل استفاده از فناوریهای Rootkit بسیار دشوار است. همچنین علاوه بر ساختار اولیه Mask، گردانندگان این عملیات میتوانند امکانات و تنظیمات جدیدی به Mask اضافه کنند تا مشخصات و رفتار Mask دائما در حال تغییر و دگرگونی باشد.
نحوه آلودگی Mask
بخش عمده آلودگیهای مشاهده شده از طریق ایمیلهای مخرب و هدفمند بوده است. این ایمیلها برای هریک از قربانیان بطور اختصاصی ساخته شده تا کاملا واقعی و مرتبط با فعالیتهای قربانی به نظر آید. در این ایمیلهای جعلی، پیوند (Link)هایی وجود دارد که قربانی را به سایتهای مخرب هدایت میکند. در این سایتها از نقاط ضعف مختلف روی سیستم قربانی سوءاستفاده میشود تا بدافزار موردنظر به سیستم قربانی نفوذ کرده و روی آن فعال شود و پس از آلوده شدن سیستم، قربانی به یک سایت خبری عادی و سالم و یا یک فیلم روی سایت YouTubeهدایت میشود.
باید توجه داشت که سایت مخربی که قربانی به آنها هدایت میشود، مستقیما برای نفوذ و آلودگی سیستم بکار گرفته نشده اند؛ بلکه ابزارهای نفوذ در شاخههای خاصی از سایت یا حتی در سایتهای زیرمجموعه (sub-domain) سایت اصلی قرار دارند. نشانی این شاخهها و یا سایتهای زیر مجموعه در هیچ کجا ذکر نشده و نشانی آنها فقط در پیوند داخل ایمیل وجود دارد.
آیا Mask از نقاط ضعف امنیتی ناشناخته و جدید استفاده میکند؟
درحال حاضر، یک نقطه ضعف شناخته شده و قدیمیدر نرم افزار Adobe Flash Player است که Mask به دفعات از آن برای نفوذ به سیستم قربانیان خود، سوءاستفاده کرده است.
این نقطه ضعف که دارای شناسه CVE-2013- 0773 است در نسخههای قدیمیتر از 10 3 و 11 2 در نرم افزار Flash Player وجود داشته است. نکته جالب درباره این نقطه ضعف، نحوه کشف آن است. شرکت فرانسوی VUPEN در مسابقات نفوذ Pwn2Own که هرساله همزمان با کنفرانس امنیتی CanSecWest برگزار میشود، اولین بار از این نقطه ضعف برای دور زدن امکان امنیتی Sandbox در مرورگر Chrome استفاده کرد. در آن زمان، شرکت VUPEN از افشای جزئیات این نقطه ضعف خودداری و اعلام کرد که این نقطه ضعف را به معرض فروش خواهد گذاشت و اکنون به نظر میرسد که گردانندگان Mask این نقطه ضعف را خریداری کرده اند. علاوه بر سوءاستفاده از نقطه ضعف Flash Player برای نفوذ به سیستم قربانی، از روشهای فریبکارانه برای وسوسه و گمراه کردن قربانیان نیز استفاده شده است؛ ترفندهایی مثل ترغیب کاربر به دریافت و نصب فایلهای به روز رسانی انواع نرم افزارها، نظیر جاوا یا دریافت و نصب افزونه (add-ons) جدید برای مرورگر کروم.
Mask روی چه سیستمهایی عمل میکند؟
تاکنون نسخههایی از بدافزارهای Mask برای محیطهای ویندوز و Mac Osx مشاهده شده است. همچنین روی سرورهای فرماندهی Mask، افزونههایی خاص محیطهای Linux شناسایی شده ولی تاکنون این افزونهها روی سیستمهای آلوده مشاهده نشده است.
به علاوه در فایلهای Log روی سرورهای فرماندهی نشانههایی از فعالیت روی سیستمهای Apple iOS و Android گزارش شده است.
Mask چگونه کشف شد؟
شرکت ضدویروس Kaspersky به فعالیت بدافزاری که سعی در سوءاستفاده از یک نقطه ضعف قدیمیدر محصولات ضدویروس این شرکت داشت، حساس شد و آن را تحت نظر داد. اگرچه این نقطه ضعف حدود 5 سال قبل در نسخههای قدیمیضدویروس Kaspersky اصلاح و ترمیم شده بود، تلاش یک بدافزار برای سوءاستفاده از آن، توجه و حساسیت کارشناسان Kaspersky را به خود جلب کرد.
آیا Mask گونههای مختلف دارد؟
Mask یک سیستم پیش ساخته است که از اجزای (Module) مختلف تشکیل شده است و امکانات و تنظیمات جدید از طریق اضافه و کم کردن اجزای آماده به سیستم Mask به راحتی اعمال میشود.
از سال 2007، اجزای تشکیل دهنده Mask بطور مستمر در حال تغییر و تحول بوده ولی عمده تغییرات در سال 2012 رخ داده است.
Mask چه اطلاعاتی را سرقت میکند؟
بدافزارهای Mask اطلاعات گسترده ای را جمع آوری و سرقت میکنند، از جمله کلیدهای رمزگذاری، تنظیمات VPN و کلیدهای SSH همچنین تعدادی پسوند (extension) ناآشنا نیز دائما توسط Mask کنترل و ردیابی میشود. این پسوندها احتمالا کاربرد نظامیو امنیتی دارد و تاکنون در مصارف عمومیدیده نشده اند. پسوندهای زیر توسط Mask کنترل و جمع آوری میشود:
AKF, ASC, AXX, CFD, CFE, CRT, DOC, DOCX, EML, ENC, GMG, GPG, HSE, KEY M15, M2F, M2O, M2R, MLS, OCFS, OCU, ODS, ODT, OVPN, P7C, P7M, P7Z, PAB, PDF PGP, PKR, PPK, PSW, PXL, RDP, RTF, SDC, SDW, SKR, SSH, SXC, SXW, VSD, WAB, WPD, WPS, WRD, XLS, XLSX,
آیا عملیات Mask حامیدولتی دارد؟
پیچیدگی و تنوع ابزارهای Mask، دقت و نظم خاص در اجرای عملیات، مدیریت سرورها، از بین بردن کامل فایلها به جای حذف عادی آنها، توقف عملیات در زمان احساس خطر و از این قبیل، همه نشانههایی از یک عملیات حرفه ای با امکانات گسترده و نامحدود هستند که فقط در اختیار دولتهاست.
وضعیت فعلی Mask چیست؟
عملیات جاسوسی Mask از سال 2007 میلادی آغاز شده و تا اواخر دی ماه امسال ادامه داشته است و احتمالا به دنبال تحقیقات و بررسیهای اخیر شرکت ضدویروس کسپرسکی و ترس از شناسایی شدن، سرورهای فرماندهی Mask طی یک ماه گذشته یک به یک خاموش و متوقف شده است.
در حال حاضرعملیات Mask غیرفعال و متوقف شده است.
پس از افشا شدن عملیات جاسوسی Mask و انتشار جزئیات آن از سوی شرکتهای امنیتی، اکنون غالب ضدویروسها قادر به شناسایی اجزا و فایلهای مرتبط با Mask هستند.