Maske ile ilgili açıklama yapan Kaspersky Lab Global Araştırma ve Analiz Ekip (GReAT) Başkanı Costin Raiu, “Bize bunun ulus-devlet destekli bir kampanya olabileceğini düşündüren birçok neden mevcut” diyor. Bu nedenlerin başında, saldırının profesyonellik seviyesinin yüksek olması var. Maske’de, altyapı yönetiminden operasyon sonlandırmaya, erişim kuralları ile meraklı gözlerden kaçınma ve günlük dosyalarını (log files) silme (deletion) yerine süpürme (wiping) işlemini kullanmaya kadar her adımda profesyonellik gözlemlemek mümkün… Bir araya gelen tüm bu detaylar Maske’yi, karmaşıklık açısından Duqu’nun bile önüne geçirerek, mevcut olan en gelişmiş tehditlerden biri haline getiriyor. Bu nedenle Raiu, “Bu seviyedeki bir operasyonel güvenlik, siber suç grupları için alışılagelmiş bir durum değil” diye vurguluyor.
Başlıca bulgular:
- Yazarların ana dilinin, APT saldırılarında çok nadir olarak rastlanan İspanyolca olduğu görülüyor.
- Kampanyanın Ocak 2014 yılına kadar en az beş yıl boyunca aktif olarak yürütüldüğü hesaplanıyor; bazı Careto örnekleri 2007 yılında derlenmiş durumda… Kaspersky Lab soruşturmaları süresince komuta ve kontrol (C&C) sunucuları kapatılmış.
- Etkilenen 1000’i aşkın IP ve 380’in üzerinde özgün kurban olduğu belirlendi. Bulaşmanın gözlendiği yerler arasında Türkiye de bulunuyor, diğer ülkeler şu şekilde sıralanıyor: Cezayir, Arjantin, Belçika, Bolivya, Brezilya, Çin, Kolombiya, Kosta Rika, Küba, Mısır, Fransa, Almanya, Cebelitarık, Guatemala, İran, Irak, Libya, Malezya, Meksika, Fas, Norveç, Pakistan, Polonya, Güney Afrika, İspanya, İsviçre, Tunus, Birleşik Krallık, Amerika Birleşik Devletleri ve Venezuela.
- Saldırganlar tarafından kullanılan araç setinin karmaşıklığı ve evrenselliği nedeniyle bu siber casusluk operasyonunun özel olduğu açıklanıyor. Maske aynı zamanda, Kaspersky Lab’in ürünlerine de özel bir saldırı çeşidi gerçekleştirmiş durumda.Saldırının vektörleri arasında en az bir Adobe Flash Player açıklarından yararlanma kodu (CVE-2012-0773) bulunuyor. 10.3 ve 11.2 öncesi Flash Player sürümleri için tasarlanmıştır. Bu kod ilk olarak VUPEN tarafından keşfedilmiş ve 2012 yılında CanSecWest Pwn2Own yarışmasını kazanmak için Google Chrome Sandbox’ı atlatmak üzere kullanılmış.