Een nieuw ontdekt spionagevirus wordt door de ontdekkers omschreven als één van de meest geavanceerde spionagecampagnes ooit, maar de infecties verliepen voor zover bekend op traditionele wijze. De nieuwe malware heet 'The Mask' en heeft meer dan 380 slachtoffers in 31 landen gemaakt.

Slachtoffers ontvingen een spear phishingmail met een linkje dat naar een filmpje of nieuwsartikel leek te wijzen. Zodra de ontvanger de link opende werd die naar een website doorgestuurd die de computer probeerde te infecteren. Vervolgens werd de website geladen waar de link in de e-mail in eerste instantie naar leek te wijzen. Eenmaal actief probeerde The Mask allerlei informatie van de besmette computer te stelen, zoals documenten, encryptiesleutels, SSH-sleutels, VPN-configuraties en RDP-bestanden.

De malware werd door Kaspersky Lab ontdekt toen het een lek in de virusscanners van het Russische anti-virusbedrijf probeerde te misbruiken. Door van dit lek gebruik te maken zou de malware onzichtbaar voor de virusscanner zijn. Het lek in de anti-virussoftware werd in 2008 door Kaspersky gepatcht. De spionagecampagne zou echter al sinds 2007 actief zijn. Tijdens het onderzoek naar de malware in januari van dit jaar werd de campagne opeens gestopt.

Verspreiding

Vorige week kwam Kaspersky al met de vooraankondiging van The Mask en liet weten dat de malware zich via "hoogwaardige exploits" verspreidde en Windows-, Mac- en Linuxcomputers kon infecteren. Uit de analyse blijkt dat het spionagevirus zich vooral op traditionele wijze verspreidde, namelijk social engineering en beveiligingslekken die niet door slachtoffers waren gepatcht.

Het gaat om een exploit voor een Java-lek dat in 2011 door Oracle werd gepatcht en een exploit voor een lek in Adobe Flash Player waar in 2012 een update voor verscheen. Dit lek in Flash Player was ontdekt door het Franse beveiligingsbedrijf VUPEN, dat het tijdens de Pwn2Own-wedstrijd gebruikte om Google Chrome te hacken. Kaspersky heeft echter geen hard bewijs dat het lek werd gebruikt voordat er een patch beschikbaar was, zodat het als een zero-day-lek geclassificeerd zou kunnen worden.

Het is bekend dat VUPEN informatie over kwetsbaarheden aan bepaalde partijen verkoopt en Kaspersky sluit niet uit dat de makers van The Mask bij het Franse beveiligingsbedrijf de exploit voor het Flash Player-lek hebben gekocht. Daarbij wordt nog naar een verhaal op ZDNet gewezen, maar ook daarin staat geen concrete informatie. VUPEN heeft inmiddels op de aantijgingen gereageerd en stelt dat de gebruikte Flash-exploit niet van het Franse bedrijf afkomstig is en waarschijnlijk is ontdekt door het analyseren van Adobe's eigen patch voor Flash Player.

Browserplug-ins

Naast het gebruik van exploits zouden de aanvallers ook kwaadaardige browserplug-ins hebben ingezet. Via een plug-in voor Firefox zouden op deze manier mogelijk Linuxcomputers zijn geïnfecteerd. Deze plug-in installeerde vervolgens de backdoor. Kaspersky kon de gebruikte plug-in echter niet veiligstellen, waardoor meer details achterwege blijven. Naast Firefox werden er ook plug-ins voor Google Chrome gebruikt. Deze waren echter op Windowsgebruikers gericht. Gebruikers moesten de extensie zelf installeren en kregen daarbij een waarschuwing van de browser dit niet te doen.

Aanvallers

Ondanks de afwezigheid van zero-day-lekken en de eenvoud waarmee slachtoffers zich hadden kunnen beschermen stelt virusonderzoeker Costin Raiu van Kaspersky dat de aanvallers achter de campagne beter zijn dan de makers van het geavanceerde Flame-virus. Dit vanwege de manier waarop ze de infrastructuur beheerden. Flame wordt als zeer geavanceerde malware beschouwd die zich via Windows Update wist te verspreiden. De malware zou door de NSA, CIA en het Israëlische leger zijn ontwikkeld en had overeenkomsten met de geavanceerde Stuxnetworm.

Wat The Mask betreft is het onbekend wie de malware heeft ontwikkeld. Aan de hand van de code stellen de onderzoekers dat het erop lijkt dat de malware door Spaanstalige programmeurs is gemaakt, wat zeer opmerkelijk is. Zeker weten doen ze dit echter niet. Ook wordt, gezien de complexiteit van de malware, niet uitgesloten dat The Mask door een land is ontwikkeld. Wederom zijn er geen keiharde bewijzen.

Hoewel Kaspersky The Mask als een zeer geavanceerde spionagecampagne omschrijft hadden slachtoffers zich eenvoudig kunnen beschermen door hun software up-to-date te houden, niet zomaar op links in e-mailberichten te klikken en geen ongevraagde plug-ins van onbekende websites te installeren.