Mało znana grupa działająca w obszarze cyber-szpiegostwa, znana jako The Mask, została ponownie powiązana z atakami na jedną z organizacji w Ameryce Łacińskiej w latach 2019 i 2022. Ta groźna grupa APT (Advanced Persistent Threat) od dawna budzi zainteresowanie badaczy bezpieczeństwa, szczególnie dzięki swojej zaawansowanej technologii i przemyślanym metodom ataku.
Tajemnicza działalność grupy The Mask
Według analizy ekspertów z Kaspersky, The Mask jest jednym z najbardziej wyrafinowanych aktorów w cyberprzestrzeni. Jej działalność można śledzić co najmniej od 2007 roku, chociaż sam początek funkcjonowania grupy wciąż pozostaje tajemnicą. Głównymi celami The Mask są organizacje z wysokiego szczebla, takie jak rządy, placówki dyplomatyczne oraz instytucje badawcze. W swojej historii grupa zainfekowała ponad 380 unikalnych ofiar na całym świecie.
Istnieją również dowody sugerujące, że fundamentem strategii The Mask jest niezwykle bogaty i wieloplatformowy arsenał złośliwego oprogramowania. Narzędzia opracowane przez tę grupę są zdolne do atakowania systemów Windows, macOS, a także urządzeń mobilnych z systemami Android i iOS, co czyni ich jednym z najbardziej wszechstronnych graczy w środowisku cyberprzestępczym.
Metody ataków — sztuka inżynierii socjalnej i wykorzystania luk
Pierwszym krokiem w atakach przeprowadzanych przez The Mask jest uzyskanie dostępu do sieci ofiary. Zwykle osiągają to za pomocą spreparowanych maili typu spear-phishing, które zawierają linki do złośliwych stron internetowych. Te strony są specjalnie zaprojektowane, aby wykorzystywać luki typu zero-day w przeglądarkach ofiar, takie jak znana CVE-2012-0773. Gdy cel zostaje zainfekowany, użytkownik często jest przekierowywany na wiarygodne strony, jak YouTube czy portale informacyjne, co maskuje prawdziwy charakter ataku.
Jednym z najnowszych incydentów z 2022 roku była infekcja systemów pewnej organizacji w Ameryce Łacińskiej. Grupa skorzystała wtedy z komponentu webmailowego WorldClient, będącego częścią oprogramowania MDaemon. Dzięki tej funkcjonalności hakerom udało się zintegrować z serwerem e-mailowym, tworząc własny złośliwy rozszerzenie i konfigurując je tak, aby obsługiwało niebezpieczne zapytania HTTP.
Prime przykłady zaawansowanych metod
Rozszerzenie stworzone przez The Mask było w stanie przeprowadzać szeroko zakrojone operacje, od zdalnego sondowania sieci po wykonywanie dodatkowych programów i analizę systemów plików. W 2022 roku stosowano również narzędzie o nazwie FakeHMP (plik „hmpalert.dll”), które bazowało na kontrolowaniu legalnego sterownika HitmanPro Alert („hmpalert.sys”). To właśnie wykorzystanie legalnego sterownika było kluczowe dla osiągnięcia przywilejów systemowych i umożliwiło grupie uruchamianie swoich modułów przy starcie systemu.
Dzięki swoim zdolnościom The Mask mogła nie tylko szpiegować, ale też rozprzestrzeniać infekcję pomiędzy urządzeniami w sieci, rejestrować naciśnięcia klawiszy, kraść dane czy instalować dodatkowe implanty, takie jak rejestratory mikrofonu i kradzieże plików.
Powrót do przeszłości — ewolucja narzędzi
Analizy wskazują, że działalność grupy The Mask miała podobny charakter już wcześniej, m.in. podczas działań z 2019 roku, kiedy nakładali narzędzia o nazwach Careto2 i Goreto. Narzędzie Careto2 było ulepszoną wersją wcześniejszych frameworków tej grupy i zawierało wtyczki pozwalające na śledzenie zmian w plikach, wykonywanie zrzutów ekranu i wysyłanie danych na serwis Microsoft OneDrive kontrolowany przez napastników.
Równocześnie, Goreto był zestawem napisanym w języku Golang, który umożliwiał komunikację z Google Drive do pobierania poleceń i ich wykonywania. Funkcje rozbudowane o rejestrację klawiszy oraz zrzuty ekranu dodatkowo uzupełniały pełen wachlarz możliwości narzędzia The Mask.
Cyberzagrożenie z przyszłości
Obawy przed kolejnymi atakami są uzasadnione, bowiem grupa The Mask stale rozwija swoje możliwości. W początkach 2024 roku zauważono niepokojące wykorzystanie sterownika „hmpalert.sys” do kolejnego ataku, co jest wyrazem ciągłego eksperymentowania z nowymi technologiami i sposobami infiltracji.
Eksperci ostrzegają, że The Mask jest nie tylko mistrzem w projektowaniu wyrafinowanego malware, ale również w opracowywaniu innowacyjnych metod infekcji. Ich zaangażowanie w wykorzystanie luk w oprogramowaniu, takich jak sterowniki, czy ukrywanie się w środowiskach serwerów e-mail, pokazuje, że jest to zagrożenie, które wymaga szczególnej uwagi.
Trzeba zauważyć, że zrozumienie natury działalności takich grup, jak The Mask, stanowi klucz do skuteczniejszego przeciwdziałania. Współczesny świat technologii jest na tyle dynamiczny, że nawet małe zaniedbanie może kosztować wiele, szczególnie w erze rosnącego cyberzagrożenia.
