The Mask: хакеры превратили Google в оружие против мировой дипломатии

На международной конференции Virus Bulletin специалисты Лаборатории Касперского поделились исследованиями группировки The Mask (Careto), известной высокотехнологичными атаками с 2007 года. Объектами атак становились дипломатические структуры, правительства и научные учреждения. После долгого затишья группировка вновь привлекла внимание, продемонстрировав новые изощрённые подходы.

Одним из самых примечательных эпизодов стал случай заражения организации в Латинской Америке в 2022 году. Хакеры скомпрометировали почтовый сервер MDaemon, внедрив собственное вредоносное расширение через компонент WorldClient. Конфигурация расширений позволила злоумышленникам получить устойчивый доступ и управлять заражённой инфраструктурой с помощью HTTP-запросов.

Установленный вредоносный модуль FakeHMP обладал широкими возможностями: сбор данных, запись нажатий клавиш (кейлоггинг), создание скриншотов и развёртывание других вредоносных программ. Для распространения внутри сети использовался легитимный драйвер hmpalert.sys, что позволило внедрять вредоносные библиотеки в критически важные процессы, включая winlogon.exe. В 2024 году исследователи обнаружили схожую технику заражения, но с использованием Google Updater вместо ранее применявшихся задач планировщика.

Анализ данных показал, что в 2019 году та же организация подверглась атакам с использованием фреймворков Careto2 и Goreto. Первый включал модули для управления конфигурациями, фильтрации файлов и хранения украденных данных. Второй, написанный на Golang, позволял взаимодействовать с Google Drive для загрузки и выполнения команд. Методы сохранения доступа включали COM Hijacking и использование виртуальных файловых систем.

Интересно, что названия файлов и структура плагинов, использованных в 2019 году, перекликаются с теми, что применялись в атаках 2007–2013 годов. Этот факт, наряду с уникальными признаками вредоносных нагрузок, позволил экспертам уверенно связать современные атаки с группировкой Careto.

The Mask остаётся одной из самых сложных угроз в мире кибербезопасности. Методы внедрения через драйверы и использование облачных хранилищ демонстрируют не только техническую подкованность, но и гибкость в адаптации к новым условиям. Эксперты полагают, что будущие кампании данной группы сохранят столь же высокий уровень сложности.

Последний раз Careto заявила о себе в мае 2024 года, возобновив свою активность после более чем 10-летнего перерыва. Хакеры начали свои операции в 2007 году и исчезли в 2013 году, за это время поразив 380 уникальных целей в 31 стране, включая США, Великобританию, Францию, Германию, Китай и Бразилию.