أعلن فريق البحوث بكاسبرسكي لاب عن اكتشاف ما يسمى بـ"القناع" (aka Careto)، وهو تهديد مطور باللغة الاسبانية شارك في عمليات التجسس الالكتروني حول العالم منذ 2007 على أقل تقدير. ما يميز القناع هو درجة تعقيد الأدوات المستخدمة من قبل المهاجمين. وتتضمن هذه المجموعة من الأدوات برمجيات خبيثة معقدة للغاية، أدوات التمويه (rootkit)، روبوتات الانترنت البرمجية، نسخ من MAC OS X وLinux ونسخ من Android وiPad/iPhone (iOS).
ويستهدف "القناع" مؤسسات حكومية، بعثات دبلوماسية وسفارات، شركات تعمل في مجال الطاقة، النفط والغاز، مؤسسات بحثية وناشطين. وشمل البرنامج الخبيث 31 بلدا – من الشرق الأوسط إلى أوروبا وأفريقيا والأمريكيتين.
ويكمن الهدف الرئيسي للمهاجمين في جمع البيانات الحساسة من الأنظمة المصابة، ومن بينها وثائق مكتبية، مفاتيح التشفير المختلفة، إعدادات الشبكة الافتراضية الخصوصية، بيانات الدخول إلى خوادم SSH، ملفات RDP (المستخدمة من قبل عميل سطح المكتب البعيد لفتح الاتصال بالحاسوب تلقائيا).وقال كوستين رايو، مدير فريق البحث والتحليل العالمي بكاسبرسكي لاب: "هناك عدة أسباب تجعلنا نعتقد أن هذه الحملة ممولة من قبل بلد ما. أولا، لمسنا مستوى عاليا جدا من الحرفية في الإجراءات العملياتية للمجموعة التي تقف وراء الهجمة ومنها إدارة البنية التحتية، إغلاق العملية، تجنب الأعين الفضولية بواسطة قواعد الوصول واستخدام المحو بدلا من حذف ملفات الدخول. وهذه التشكيلة تجعل التهديد يتفوق على Duqu بدرجة تعقيده، ما يجعله أكثر التهديدات تطورا حتى اللحظة".
ولاحظ خبراء كاسبرسكي لاب تهديد Careto العام الماضي لدى تحليلهم لمحاولات استغلال ثغرة في منتج الشركة تم إصلاحها قبل 5 سنوات. وقد وفر البرنامج المستغل للبرمجية الخبيثة إمكانية تجنب الكشف. وبالطبع أثار هذا الوضع اهتمام الخبراء وبدأت بذلك التحريات.
بالنسبة للضحايا، فإن الإصابة ببرنامج Careto قد تكون كارثية. يتسلل هذا البرنامج إلى قنوات الاتصال ويقوم بجمع أكثر البيانات أهمية من حاسوب الضحية. ويصعب الكشف عن هذا البرنامج نظرا إلى قدراته التسللية، الوظائف المدمجمة ووحدات التجسس الالكتروني الإضافية التي يحتوي عليها.
وفقا لتقرير كاسبرسكي لاب التحليلي، فإن حملة القناع تعتمد على التصيد المستهدف بواسطة الرسائل الالكترونية التي تحتوي على روابط مؤدية إلى مواقع خبيثة. ويتضمن الموقع الخبيث عددا من البرامج المستغلة المصممة لإصابة الزائرين انطلاقا من إعدادات النظام في حواسيبهم. وبعد نجاح عملية الإصابة، يقوم الموقع الخبيث إلى تحويل المستخدم إلى موقع غير خبيث مذكور في الرسالة الالكترونية وقد يكون مقطع فيديو من موقع Youtube أو موقع إخباري.
والجدير بالذكر أن مواقع البرامج المستغلة لا تقوم بإصابة الزائرين تلقائيا؛ بدلا من ذلك، يحتفظ المهاجمون بالبرمجيات المستغلة في حافظات مخصصة على الموقع والتي لا يشار إليها بروابط مباشرة، باستثناء الرسائل الالكترونية الخبيثة. أحيانا، يستخدم المهاجمون نطاقات فرعية على المواقع المستغلة لتجلعها تبدو أكثر واقعية. وتحاكي هذه النطاقات الفرعية أقسام مواقع الصحف الأساسية في إسبانيا إلى جانب الصحف الدولية الأخرى على سبيل المثال "The Guardian" و"Washington Post".
ويتوغل البرنامج الخبيث إلى جميع قنوات الاتصال وتجمع البيانات الأكثر أهمية من النظام المصاب. ويعتبر الكشف امرا صعبا للغاية نظرا لقدرات البرنامج الخبيث الاحتيالية. ويعد Careto نظاما مكونا من وحدات عدة؛ إنه يدعم ملفات الوحدات الإضافية وملفات الإعدادات ما يسمح لها بممارسة عدد كبير من الوظائف. بالإضافة إلى الوظائف المدمجة، يستطيع مشغلو Careto تحميل وحدات إضافية وتنفيذ مختلف المهام الخبيثة.
وتستطيع منتجات كاسبرسكي لاب الكشف عن جميع نسخ البرامج الخبيثة The Mask/Careto وإزالتها.
للإطلاع على التقرير الكامل المرفق بالشرح المفصل للأدوات الخبيثة والإحصاءات إلى جانب علامات الإصابة، الرجاء زيارة موقع Securelist. ويمكن الإطلاع على الأسئلة الشائعة على هذا الرابط .