Careto

Careto, de vegades anomenat The Mask, és una peça de programari maliciós d'espionatge descobert per Kaspersky Lab el 2014. A causa del seu alt nivell de sofisticació i professionalitat, i d'una llista d'objectius que incloïa oficines diplomàtiques i ambaixades, es creu que Careto és l'obra d'un estat-nació.^[1] Kaspersky creu que els creadors del programari maliciós eren de parla espanyola.^[1]

A causa de l'atenció a les víctimes hispanoparlants, els forts objectius del Marroc i els objectius de Gibraltar, Bruce Schneier especulà que Careto seria operat per Espanya.^[2]^[3]

Càrrega útil[modifica]

El Careto normalment instal·la un segon programa de porta posterior més complex anomenat SGH. SGH es pot modificar fàcilment i també té un arsenal més ampli que inclou la capacitat d'interceptar esdeveniments del sistema, operacions de fitxers i realitzar una gamma més àmplia de funcions de vigilància.^[4] La informació recopilada per SGH i Careto pot incloure claus de xifratge, configuracions de xarxes privades virtuals i claus SSH i altres canals de comunicació.^[5]

Detecció i eliminació[modifica]

Careto és difícil de descobrir i eliminar a causa del seu ús de capacitats de sigil. A més, la majoria de les mostres han estat signades digitalment. Les signatures provenen d'una empresa búlgara, TecSystem Ltd., però es desconeix l'autenticitat de l'empresa. Un dels certificats emesos va ser vàlid entre el 28 de juny de 2011 i el 28 de juny de 2013. Un altre va ser vàlid des del 18 d'abril de 2013 fins al 18 de juliol de 2016, però Verisign el va revocar.^[6]

Careto es va descobrir quan va intentar eludir els productes de seguretat de Kaspersky.^[7] En descobrir que Careto intentava explotar el seu programari, Kaspersky va començar a investigar més. Com a part de la recollida d'estadístiques, es van col·locar múltiples dolines als servidors de comandament i control.^[6]

Actualment, la majoria del programari antivirus actualitzat pot descobrir i eliminar amb èxit aquest programari maliciós.

Distribució[modifica]

En la investigació dels servidors de comandament i control, els descobriments van mostrar que més de 380 víctimes estaven infectades. A partir de la informació que s'ha descobert, les víctimes es van infectar amb el programari maliciós fent clic a un enllaç de pesca que redirigeix a llocs web que tenien programari que Careto podria explotar, com ara Adobe Flash Player. Des de llavors, el reproductor de Flash ha estat resolt i Careto ja no l'explota. Els llocs web que contenien el programari explotable tenien noms semblants als diaris populars, com ara The Washington Post i The Independent.^[8]

Es diu que el programari maliciós contindria diverses portes posteriors a Linux, Mac OS X i Windows. Es van descobrir proves d'un possible quart tipus de porta posterior per a Android i IOS als servidors de C&C, però no es van trobar mostres.^[4]

S'estima que Careto s'ha compilat des del 2007. Ara se sap que els atacs van cessar el gener de 2014.^[6]

Referències[modifica]

↑ ^1,0 ^1,1 «Kaspersky Lab Uncovers "The Mask": One of the Most Advanced Global Cyber-espionage Operations to Date Due to the Complexity of the Toolset Used by the Attackers, 11 February 2014». Arxivat de l'original el 21 febrer 2014. [Consulta: 11 febrer 2014].
↑ «"The Mask" Espionage Malware - Schneier on Security». schneier.com.
↑ Castillo, Carlos del. «Careto: el Pegasus con código en español que espió a Marruecos y otros 30 países» (en castellà), 04-05-2022. [Consulta: 5 maig 2022].
↑ ^4,0 ^4,1 Lucian Constantin. «Unveiling 'The Mask': Sophisticated malware ran rampant for 7 years». PCWorld, 11-02-2014.
↑ «Archived copy». Arxivat de l'original el 2014-02-21. [Consulta: 11 febrer 2014].
↑ ^6,0 ^6,1 ^6,2 «The Careto/Mask APT: Frequently Asked Questions».
↑ «Securelist». [Consulta: 3 abril 2015].
↑ «Unveiling 'The Mask': Sophisticated malware ran rampant for 7 years». Pcworld. [Consulta: 2 abril 2015].

[kas-1] 1,0 ^1,1 «Kaspersky Lab Uncovers "The Mask": One of the Most Advanced Global Cyber-espionage Operations to Date Due to the Complexity of the Toolset Used by the Attackers, 11 February 2014». Arxivat de l'original el 21 febrer 2014. [Consulta: 11 febrer 2014].

[2] «"The Mask" Espionage Malware - Schneier on Security». schneier.com.

[3] Castillo, Carlos del. «Careto: el Pegasus con código en español que espió a Marruecos y otros 30 países» (en castellà), 04-05-2022. [Consulta: 5 maig 2022].

[lucianconstantin-4] 4,0 ^4,1 Lucian Constantin. «Unveiling 'The Mask': Sophisticated malware ran rampant for 7 years». PCWorld, 11-02-2014.

[5] «Archived copy». Arxivat de l'original el 2014-02-21. [Consulta: 11 febrer 2014].

[securelist.com-6] 6,0 ^6,1 ^6,2 «The Careto/Mask APT: Frequently Asked Questions».

[7] «Securelist». [Consulta: 3 abril 2015].

[8] «Unveiling 'The Mask': Sophisticated malware ran rampant for 7 years». Pcworld. [Consulta: 2 abril 2015].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]