10 replies to this topic

[vigen]

Bonjour !

 

Concernant les certificats..

 

Voir page 6 de ce doc très intéressant au demeurant...

 

http://www.securelis...hemask_v1.0.pdf

 

What exactly is Careto / "The Mask"?

The Mask is an advanced threat actor that has been involved in cyber-espionage operations since at least 2007.

What makes The Mask special is the complexity of the toolset used by the attackers. This includes an extremely sophisticated piece of malware, a rootkit, a bootkit, Mac OS X and Linux versions and possibly versions for Android and iPad/iPhone (iOS).

The Mask also uses a customized attack against older Kaspersky Lab products in order to hide in the system. This puts it above Duqu in terms of sophistication, making The Mask one of the most advanced threats at the current time. This and several other factors make us believe this could be a state-sponsored operation.

 

 

[Txon]

Concernant les certificats..

 

Voir page 6 de ce doc très intéressant au demeurant...

 

http://www.securelis...hemask_v1.0.pdf

 

What exactly is Careto / "The Mask"?

The Mask is an advanced threat actor that has been involved in cyber-espionage operations since at least 2007.

What makes The Mask special is the complexity of the toolset used by the attackers. This includes an extremely sophisticated piece of malware, a rootkit, a bootkit, Mac OS X and Linux versions and possibly versions for Android and iPad/iPhone (iOS).

The Mask also uses a customized attack against older Kaspersky Lab products in order to hide in the system. This puts it above Duqu in terms of sophistication, making The Mask one of the most advanced threats at the current time. This and several other factors make us believe this could be a state-sponsored operation.

 

Merci vigen ! Une belle saleté que ce truc !

 

Côté certificat ..

Pas facile à trouver la société bulgare TecSystem Ltd qui aurait délivré ces certificats.

 

Côté développeurs ..

Pour ce qui est de la mise en place de protection par les auteurs de ce malware : « Un tel degré de sécurité opérationnelle n'est pas normal pour des groupes cybercriminels.»

« Le fait que les pirates de Careto semblent s'exprimer en espagnol est peut-être l'aspect le plus étrange. Alors que la plupart des attaques connues de nos jours sont remplies de commentaires en chinois, les langues comme l'allemand, le français ou l'espagnol sont très rares. »

 

Côté victimes ..

Des mails contenant des liens vers des sites piégés avec des exploits pour Java et Adobe Flash Player. Ils contiennent des extensions malicieuses pour Firefox et Google Chrome. Les URL utilisées étaient destinées à passer pour les sites Web de journaux populaires, dont beaucoup en espagnol, mais aussi The Guardian, The Washington Post et The Independent.

Les historiques recueillies à partir des journaux de débogage accessibles sur les serveurs C & C ont montré que plus de 1 000 IP victimes s'y étaient connectées. Le "top 5" des pays par nombre d'adresses IP victimes sont le Maroc, le Brésil, le Royaume-Uni, l'Espagne et la France. D'autres pays seraient touchés en moindre mesure dont la Suisse et la Belgique.

 

Un autre article qui relate ce gros problème : Cyberespionage operation 'The Mask' compromised organizations in 30-plus countries (Lucian Constantin .. CSO .. 11 février 2014)

 

Combien d'organismes ou organisations peuvent fournir des certificats +/- bidons qui trompent les systèmes d'exploitation ?

 

@+

[vigen]

"Combien d'organismes ou organisations peuvent fournir des certificats +/- bidons qui trompent les systèmes d'exploitation ?'

 

 

Très bonne question !!

 

Et jusqu'à ce qu'une réponse soit trouvée, les éditeurs d'AV, devraient prendre en compte cette menace potentielle...

[Txon]

 

"Combien d'organismes ou organisations peuvent fournir des certificats +/- bidons qui trompent les systèmes d'exploitation ?'

 

 

Très bonne question !!

 

Et jusqu'à ce qu'une réponse soit trouvée, les éditeurs d'AV, devraient prendre en compte cette menace potentielle...

 

Je me demande si les éditeurs d'anti-virus pourront facilement "prendre en compte cette menace potentielle".

Le système de certification lui-même n'est-il pas contrefait ? Comment différencier un certificat d'origine douteuse d'un autre ?

Une société comme TecSystem Ltd était inconnue jusqu'à maintenant. Y en a-t-il d'autres ? Qui leur a délivré une autorisation de certification et leur en a donné les moyens ?

 

 

Quelques informations complémentaires concernant Careto / The Mask ..

Dans les ordinateurs infectés, les fichiers ciblés seraient les ..

*.AKF, *.ASC, *.AXX, *.CFD, *.CFE, *.CRT, *.DOC, *.DOCX, *.EML, *.ENC, *.GMG, *.GPG, *.HSE, *.KEY, *.M15, *.M2F, *.M2O, *.M2R, *.MLS, *.OCFS, *.OCU, *.ODS, *.ODT, *.OVPN, *.P7C, *.P7M, *.P7Z, *.PAB, *.PDF, *.PGP, *.PKR, *.PPK, *.PSW, *.PXL, *.RDP, *.RTF, *.SDC, *.SDW, *.SKR, *.SSH, *.SXC, *.SXW, *.VSD, *.WAB, *.WPD, *.WPS, *.WRD, *.XLS, *.XLSX.

 

@+

[vigen]

"Le système de certification lui-même n'est-il pas contrefait ?" je me suis mal exprimé, en effet

 

Je pensais, a supprimer, purement et simplement, ce système, qui de toute façon n'est plus viable...

[EboO]

Les solutions de nettoyage type mbam sont-elles efficaces ?

[vigen]

Les solutions de nettoyage type mbam sont-elles efficaces ?

Je ne pense pas qu'elles le soient réellement.

 

Là, on a affaire a des outils sophistiqués, nécessitant une désinfection dédiée.

 

MBAM c'est un peu trop généraliste, pour tout nettoyer correctement.

[Txon]

..

 

Des informations complémentaires sur Careto, directement en provenance de Kaspersky Securelist ..

Tags: Rootkits, Targeted Attacks, Keyloggers, Zero-day vulnerabilities, Cyber espionage

The Careto/Mask APT: Frequently Asked Questions (GReAT .. Kaspersky Lab Expert .. 10 février 2014)

GReAT évoque bien une vulnérabilité "zero day" dans les tags. Il fait surtout état d'une faille dans Adobe Flash Player : CVE-2012-0773 et prétend (bien entendu) que tous les produits de défense de Kaspersky peuvent venir à bout de toutes les versions de Careto qui aurait commencé ses œuvres dès 2007. 

 

Ici et là, je lis que Careto aurait été sponsorisé par un "état". Ses victimes seraient en effet des institutions gouvernementales, des officines diplomatiques et des ambassades, des sociétés des secteurs de l'énergie, du gaz et du pétrole etc.

Cependant je suis intrigué par la localisation de ces victimes. Le Maroc vient en tête avec plus d'ordinateurs infectés que les trois pays suivants réunis : Brésil, Royaume-Uni et Espagne.

Qui donc pourrait s'en prendre prioritairement à ces pays ?

Quelles sont les relations entre eux ?

 

@+

[EboO]

Il est curieux ce malware, effectivement ces cibles sont particulières.

[PoA61]

Bonjour,

 

J'ai reçu ce qui suit. Je pensais que ça pouvait être utile aux anglophobes et aux néophytes. Le résumé est pas mal. Si c'est trop long, virez.

 

The Mask ou Careto : la menace persistante la plus avancée à ce jour

 

Kaspersky annonce avoir mis au jour The Mask, un malware en activité depuis 2007 et conçu pour dérober des données aux administrations, ambassades, grandes entreprises de l’énergie et activistes. Une nouvelle menace persistante (APT) des plus sophistiquées dont 53 organisations françaises ont été victime.

 

Le 11 février 2014 par Christophe Lagane

 

A l’heure où plus de 6 000 sites web ont fermé leurs pages, ce mardi 11 février, pour protester contre la surveillance des Etats qui outrepassent le respect de la vie privée dans le cadre de l’opération The Day We Fight Back, un nouveau scandale d’espionnage pourrait se faire jour. Kasperky annonce avoir découvert The Mask (ou Careto), un malware encore plus évolué que Duqu, le cheval de Troie sophistiqué découvert en 2011 et réputé pour ses capacités à intercepter les données des PC Windows.

 

The Mask s’inscrit en effet comme un agent malveillant aussi raffiné que discret. La bestiole opère visiblement depuis 2007 et a réussi à passer entre les mailles des filets des antivirus jusqu’à janvier 2014, selon Kaspersky Lab. Soit environ 7 ans d’activité en échappant à toutes les protections ! Ensuite The Mask se distingue la sophistication des méthodes et outils utilisés qui en font « une des menaces persistantes les plus avancées (APT) jusqu’à présent », selon l’éditeur de sécurité qui détaille les exploits de The Mask et son mode opératoire dans un rapport de 65 pages.

 

Exploit de failles zero-day

 

The Mask ne se contente pas d’ouvrir une banale porte dérobée (backdoor) permettant aux attaquants d’opérer à distance, mais s’appuie sur un ensemble de logiciels modulaires taillés pour exploiter la moindre faille système. Y compris les failles zero-day (sans correctif).

 

Il en va ainsi de l’exploit CVE-2012-0773 du player Flash d’Adobe pour les versions 10.3 et 11.2, le premier qui avait permis de casser le bac-à-sable de Chrome. Un exploit démontré dans le cadre du concours CanSecWest Pwn2Own en 2012 par la société française Vupen. Laquelle avait refusé de révéler ses techniques de contournement du bac-à-sable du navigateur de Google revendiquant le droit de vendre ces informations à ses clients (le modèle économique de Vupen). De là à penser que les concepteurs de The Mask sont clients de Vupen… C’est en tout cas en 2012 que The Mask a connu le plus de variantes (6 en l’occurrence) au cours de sa longue carrière.

 

../..

 

Source: http://www.silicon.f...espeed=noscript

 

@+

 

Pierre.

Ce message a été modifié par Neuromancien - 13 février 2014 - 06:12 .

[Neuromancien]

Bon, j'ai préféré me conformer à la loi sur les droits d'auteur qui dit:

 

 

Le code de la propriété intellectuelle qui le détermine, et en particulier l'article L122-5. Les conditions de la loi française sont simplement (art L122-5 CPI) : « Lorsque l'œuvre a été divulguée, l'auteur ne peut interdire : […] 3º Sous réserve que soient indiqués clairement le nom de l'auteur et la source : a) Les analyses et courtes citations justifiées par le caractère critique, polémique, pédagogique, scientifique ou d'information de l'œuvre à laquelle elles sont incorporées ». Le droit de citation est gratuit et autorisé à tous.

 

J'ai donc raccourci la citation et mis l'adresse du texte en évidence.