«Kaspersky Lab» informē, ka ir atklājis globālu kiberspiegošanas tīklu «Maska», ko pārvalda spāņu hakeri. Atrastās pēdas liecina, ka spiegi savu darbu turpina vismaz kopš 2007. gada. Tas izceļas ar uzbrucēju arsenāla sarežģītību, kurā ietvertas sevišķi izsmalcinātas ļaunprogrammatūras, kas paredzētas dažādām platformām, tai skaitā Mac OS X, Linux un, iespējams, iOS, informē uzņēmuma sabiedrisko attiecību konsultante Latvijā Irīna Borovaja.
Ļaundaru darbības galvenokārt bija vērstas pret valsts iestādēm, diplomātiskajiem birojiem un vēstniecībām, enerģētikas, naftas un gāzes uzņēmumiem, pētniecības organizācijām un politiskajiem aktīvistiem. Saskaņā ar «Kaspersky Lab» aplēsēm, mērķuzbrukumam bija pakļauti 380 upuri 31 valstī visā pasaulē, tostarp Tuvajos Austrumos, Eiropā, Āfrikā un Amerikā.
«Vairāki iemesli liek mums domāt, ka tā var būt kampaņa, kas saņem valsts atbalstu. Pirmkārt, mēs grupas darbībās novērojam ārkārtīgi augstu profesionālisma līmeni. Tā nodrošina savas infrastruktūras uzraudzību, slēpj sevi, izmantojot piekļuves norobežošanas sistēmas noteikumus, pilnīgi izdzēš žurnālfailu saturu, nevis pašas datnes kā parasti, kā arī, ja nepieciešams, pārtrauc jebkādas darbības. Šāds pašaizsardzības līmenis nav tipisks kibernoziedzniekiem. Tas viss liecina, ka sarežģītības ziņā šī kampaņa pārspēj pat «Duqu» — var teikt, ka šis pašlaik ir vissarežģītākais šīs klases apdraudējums,» paskaidroja «Kaspersky Lab» globālā pētniecības centra vadītājs Kostins Raju.
Cietušajiem datoriem inficēšanās var radīt katastrofālas sekas. Ļaunprogrammatūra pārtver visus komunikācijas kanālus un vāc svarīgāko informāciju no lietotāja datora. Inficēšanos atklāt ir ļoti grūti. Līdztekus iebūvētajām funkcijām ļaundari varēja lejupielādēt inficētajā datorā programmatūru, kas ļauj izpildīt jebkādu kaitīgo darbību kopumu.
Rūpīga izpēte atklāja, ka šo programmu autoriem dzimtā valoda ir spāņu — agrāk šāda līmeņa uzbrukumos tas netika novērots. Analīze parādīja, ka operācija «Maska» tika aktīvi veikta piecus gadus līdz 2014. gada janvārim (bet dažiem ļaunprogrammatūru paraugiem izveides datums bija 2007. gads) — pētījuma laikā ļaundaru vadības serveru darbība bija pārtraukta.
Lietotāju inficēšana notika, nosūtot pikšķerēšanas e-pastus, kas ietvēra saites uz kaitīgiem resursiem. Ja inficēšanas mēģinājums bija sekmīgs, kaitīgā vietne novirzīja lietotāju uz nekaitīgu resursu, kas bija minēts vēstulē, — tas varēja būt «YouTube» vai ziņu portāls.
Svarīgi pieminēt, ka pašas kaitīgās vietnes automātiski neinficēja apmeklētājus, ja tie vērsās, izmantojot tikai domēna nosaukumu. Ļaundari glabāja ļaunprogrammatūru atsevišķos katalogos, saites uz kuriem bija tikai vēstulēs — tieši noklikšķinot uz tām, lietotājs tika pakļauts uzbrukumam. Dažreiz šajās vietnēs ļaundari izmantoja apakšdomēnus, lai pilnas adreses izskatītos ticamākas. Šie apakšdomēni atdarināja populāru spāņu, kā arī vairāku starptautisku — «The Guardian» un «Washington Post» avīžu sadaļas.
