Лаборатория Касперского сумела обнаружить инструмент шпионажа, остававшийся незамеченным на протяжении семи лет. Вредоносное программное обеспечение, первая известная активность которого датируется 2007 годом и получившее имя «Маска», для доступа к своим целям использовала код, равного которому по сложности эксперты в области сетевой безопасности до сих пор в Интернете не встречали.
Целью «Маски» были правительственные учреждения, дипломатические ведомства и посольства, исследовательские организации и активисты, а также рынок энергетики. Использовались разнообразные комбинации ПО, руткиты, буткиты, позволявшие оставаться незамеченными много лет. Для заражения использовались фишинговые электронные письма, перенаправлявшие пользователя на поддельные сайты, имитировавшие популярные порталы, вроде газеты The Guardian. Код «Маска» имел цифровую подпись, относящуюся к несуществующей компании TecSystem Ltd., а для связи с управляющими серверами использовались каналы HTTP или HTTPS.
Анализ IP-адресов жертв атаки
Незаконная активность включала в себя кражу документов, ключей шифрования, конфигураций VPN, ключей подписей Adobe, прослушивание разговоров в Skype. Работа велась даже с такими файлами, расширений которых нет в базе данных антивирусов Касперского. Эти файлы наверняка относятся не к коммерческим программным продуктам, а выпущены эксклюзивно для организаций и учреждений.
Сложность «Маски» и точечная направленность наводит исследователей на мысль, что к разработке могут быть причастны спецслужбы какого-либо государства. Подобных вредоносных программ ранее уже было выявлено немало, таких как Stuxnet, Flame, Duqu, Red October, Icefog, или Gauss.
Всего обнаружено около 380 пострадавших от «Маски» в 31 стране, на операционных системах Windows, OS X и Linux, основная же часть жертв располагаются на территории Марокко. Считается, что разработчики являются испаноговорящими. Кроме настольных компьютеров, есть свидетельства работы их программы на мобильных устройствах на Android и iOS.