جاسوسی که 7 سال مخفی ماند

 چرا Mask؟
Mask ترجمه انگلیسی کلمه Careto در زبان اسپانیانی استCareto به معنی ماسک یا چهره زشت است کلمه Careto به دفعات در فایل‌های مختلف و مرتبط با این عملیات جاسوسی بکار رفته و قابل مشاهده است. 

  قربانیان عملیات Mask
سیستم‌هایی که مورد حمله و نفوذ Mask قرار گرفته اند، در نهادهای دولتی، سفارتخانه‌ها، شرکت‌ها و مراکز نفت، گاز و پتروشیمی، مراکز تحقیقاتی،  شرکت‌های خصوصی مالی و سرمایه گذاری و فعالان سیاسی و اجتماعی شناسایی شده اند.

  آمار قربانیان Mask
گرچه آمار دقیق و کاملی در رابطه با قربانیان این ویروس در دسترس نیست؛ ولی تاکنون بیش از یک هزار نشانی IP آلوده در 31 کشور شناسایی شده است. از جمله این کشورها، می‌توان به الجزایر، آرژانتین، بلژیک، بولیوی، برزیل، چین، کوبا، مصر، فرانسه، آلمان، عراق، لیبی، مالزی، پاکستان، نروژ، سوئیس، ترکیه، انگلیس، آمریکا، ونزوئلا و همچنین ایران اشاره کرد. یک هزار نشانی آلوده که شناسایی شده اند، متعلق به 380 مرکز، شرکت و موسسه هستند. این آمار از تعدادی سرور فرماندهی Mask که شناسایی شده و همچنین از تعدادی سرور فرماندهی دروغین که توسط شرکت‌های امنیتی برای جمع آوری اطلاعات راه اندازی شده، به دست آمده است 

  Mask چکار می‌کند؟
آلودگی به Mask می‌تواند عواقب شدیدی به همراه داشته باشد. تمامی‌ارتباطات سیستم آلوده کنترل و اطلاعات گوناگونی از سیستم آلوده جمع آوری می‌شود. شناسایی فایل‌های مخرب و مرتبط با Mask به دلیل استفاده از فناوری‌های Rootkit بسیار دشوار است. همچنین علاوه بر ساختار اولیه Mask، گردانندگان این عملیات می‌توانند امکانات و تنظیمات جدیدی به Mask اضافه کنند تا مشخصات و رفتار Mask دائما در حال تغییر و دگرگونی باشد.

  نحوه آلودگی Mask
بخش عمده آلودگی‌های مشاهده شده از طریق ایمیل‌های مخرب و هدفمند بوده است. این ایمیل‌ها برای هریک از قربانیان بطور اختصاصی ساخته شده تا کاملا واقعی و مرتبط با فعالیت‌های قربانی به نظر آید. در این ایمیل‌های جعلی، پیوند (Link)‌هایی وجود دارد که قربانی را به سایت‌های مخرب هدایت می‌کند. در این سایت‌ها از نقاط ضعف مختلف روی سیستم قربانی سوءاستفاده می‌شود تا بدافزار موردنظر به سیستم قربانی نفوذ کرده و روی آن فعال شود و پس از آلوده شدن سیستم، قربانی به یک سایت خبری عادی و سالم و یا یک فیلم روی سایت YouTubeهدایت می‌شود. 
باید توجه داشت که سایت مخربی که قربانی به آنها هدایت می‌شود، مستقیما برای نفوذ و آلودگی سیستم بکار گرفته نشده اند؛ بلکه ابزارهای نفوذ در شاخه‌های خاصی از سایت یا حتی در سایت‌های زیرمجموعه (sub-domain) سایت اصلی قرار دارند. نشانی این شاخه‌ها و یا سایت‌های زیر مجموعه در هیچ کجا ذکر نشده و نشانی آنها فقط در پیوند داخل ایمیل وجود دارد. 

  آیا Mask از نقاط ضعف امنیتی ناشناخته و جدید استفاده می‌کند؟
درحال حاضر، یک نقطه ضعف شناخته شده و قدیمی‌در نرم افزار Adobe Flash Player است که Mask به دفعات از آن برای نفوذ به سیستم قربانیان خود، سوءاستفاده کرده است. 
این نقطه ضعف که دارای شناسه CVE-2013- 0773 است در نسخه‌های قدیمی‌تر از 10 3 و 11 2 در نرم افزار Flash Player وجود داشته است.  نکته جالب درباره این نقطه ضعف، نحوه کشف آن است. شرکت فرانسوی VUPEN در مسابقات نفوذ Pwn2Own که هرساله همزمان با کنفرانس امنیتی CanSecWest برگزار می‌شود، اولین بار از این نقطه ضعف برای دور زدن امکان امنیتی Sandbox در مرورگر Chrome استفاده کرد. در آن زمان، شرکت VUPEN از افشای جزئیات این نقطه ضعف خودداری و اعلام کرد که این نقطه ضعف را به معرض فروش خواهد گذاشت و  اکنون به نظر می‌رسد که گردانندگان Mask این نقطه ضعف را خریداری کرده اند. علاوه بر سوءاستفاده از نقطه ضعف Flash Player برای نفوذ به سیستم قربانی، از روش‌های فریبکارانه برای وسوسه و گمراه کردن قربانیان نیز استفاده شده است؛ ترفندهایی مثل ترغیب کاربر به دریافت و نصب فایل‌های به روز رسانی انواع نرم افزارها، نظیر جاوا یا دریافت و نصب افزونه (add-ons) جدید برای مرورگر کروم.

  Mask روی چه سیستم‌هایی عمل می‌کند؟
تاکنون نسخه‌هایی از بدافزارهای Mask برای محیط‌های ویندوز و Mac Osx مشاهده شده است. همچنین روی سرورهای فرماندهی Mask، افزونه‌هایی خاص محیط‌های Linux شناسایی شده ولی تاکنون این افزونه‌ها روی سیستم‌های آلوده مشاهده نشده است.
به علاوه در فایل‌های Log روی سرورهای فرماندهی نشانه‌هایی از فعالیت روی سیستم‌های Apple iOS و Android گزارش شده است. 

  Mask چگونه کشف شد؟ 
شرکت ضدویروس Kaspersky به فعالیت بدافزاری که سعی در سوءاستفاده از یک نقطه ضعف قدیمی‌در محصولات ضدویروس این شرکت داشت، حساس شد و آن را تحت نظر داد. اگرچه این نقطه ضعف حدود 5 سال قبل در نسخه‌های قدیمی‌ضدویروس Kaspersky اصلاح و ترمیم شده بود، تلاش یک بدافزار برای سوءاستفاده از آن، توجه و حساسیت کارشناسان Kaspersky را به خود جلب کرد. 

  آیا Mask گونه‌های مختلف دارد؟
Mask یک سیستم پیش ساخته است که از اجزای (Module) مختلف تشکیل شده است و امکانات و تنظیمات جدید از طریق اضافه و کم کردن اجزای آماده به سیستم Mask به راحتی اعمال می‌شود.
از سال 2007، اجزای تشکیل دهنده Mask بطور مستمر در حال تغییر و تحول بوده ولی عمده تغییرات در سال 2012 رخ داده است. 
  Mask چه اطلاعاتی را سرقت می‌کند؟
بدافزارهای Mask اطلاعات گسترده ای را جمع آوری و سرقت می‌کنند، از جمله کلیدهای رمزگذاری، تنظیمات VPN و کلیدهای SSH  همچنین تعدادی پسوند (extension) ناآشنا نیز دائما توسط Mask کنترل و ردیابی می‌شود. این پسوندها احتمالا کاربرد نظامی‌و امنیتی دارد و تاکنون در مصارف عمومی‌دیده نشده اند. پسوندهای زیر توسط Mask کنترل و جمع آوری می‌شود: 
AKF, ASC, AXX, CFD, CFE, CRT, DOC, DOCX, EML, ENC, GMG, GPG,  HSE, KEY M15, M2F, M2O, M2R, MLS, OCFS, OCU, ODS, ODT, OVPN, P7C, P7M, P7Z, PAB, PDF PGP, PKR, PPK, PSW, PXL, RDP, RTF, SDC, SDW, SKR, SSH, SXC, SXW, VSD, WAB, WPD, WPS, WRD, XLS, XLSX, 

  آیا عملیات Mask حامی‌دولتی دارد؟
پیچیدگی و تنوع ابزارهای Mask، دقت و نظم خاص در اجرای عملیات، مدیریت سرورها، از بین بردن کامل فایل‌ها به جای حذف عادی آنها، توقف عملیات در زمان احساس خطر و از این قبیل، همه نشانه‌هایی از یک عملیات حرفه ای با امکانات گسترده و نامحدود هستند که فقط در اختیار دولت‌هاست.

  وضعیت فعلی Mask چیست؟
عملیات جاسوسی Mask از سال 2007 میلادی آغاز شده و تا اواخر دی ماه امسال ادامه داشته است و احتمالا به دنبال تحقیقات و بررسی‌های اخیر شرکت ضدویروس کسپرسکی و ترس از شناسایی شدن، سرورهای فرماندهی Mask طی یک ماه گذشته یک به یک خاموش و متوقف شده است. 
در حال حاضرعملیات Mask غیرفعال و متوقف شده است. 
پس از افشا شدن عملیات جاسوسی Mask و انتشار جزئیات آن از سوی شرکت‌های امنیتی، اکنون غالب ضدویروس‌ها قادر به شناسایی اجزا و فایل‌های مرتبط با Mask هستند.