Περισσότερα από δέκα χρόνια πριν, οι ερευνητές της Kaspersky εντόπισαν περίεργη δραστηριότητα στο διαδίκτυο, που στην αρχή φαινόταν να σχετίζεται με γνωστή κρατική hacking ομάδα. Ωστόσο, η ανάλυση αποκάλυψε κάτι διαφορετικό: ένα εξελιγμένο δίκτυο ψηφιακής κατασκοπείας που μεταξύ άλλων στόχευε και κυβερνητικά συστήματα της Κούβας. Συγκεκριμένα, η έρευνα οδήγησε στην ανακάλυψη μιας άγνωστης μέχρι τότε ισπανόφωνης ομάδας, στην οποία δόθηκε το όνομα Careto — λέξη που εντοπίστηκε κρυμμένη μέσα στον κώδικα του κακόβουλου λογισμικού τους. Παρότι δεν υπήρξε ποτέ επίσημη σύνδεση της ομάδας Careto με κάποια κυβέρνηση, το TechCrunch λέει τώρα ότι οι ερευνητές που ανέδειξαν πρώτοι την υπόθεση πίστευαν ακράδαντα ότι πίσω από την Careto βρίσκονταν Ισπανοί κρατικοί hackers (ισπανική κυβέρνηση).
Όταν η Kaspersky αποκάλυψε δημόσια την ύπαρξη της ομάδας Careto το 2014, την χαρακτήρισε ως μία από τις πιο προηγμένες ψηφιακές απειλές της εποχής. Το κακόβουλο λογισμικό της ομάδας μπορούσε να υποκλέπτει ευαίσθητες πληροφορίες, όπως ιδιωτικές συνομιλίες και πληκτρολογήσεις, θυμίζοντας σε λειτουργία τα σύγχρονα spyware εργαλεία (τύπου Pegasus). Οι επιθέσεις της Careto είχαν στόχο κυβερνητικά συστήματα αλλά και ιδιωτικούς οργανισμούς παγκοσμίως.
Αν και η Kaspersky δεν προχώρησε ποτέ σε δημόσια κατηγορία για την ταυτότητα της ομάδας Careto, άνθρωποι με άμεση γνώση της υπόθεσης αποκαλύπτουν πως οι εσωτερικές αξιολογήσεις της εταιρείας ήταν σαφείς: επρόκειτο για μια επιχείρηση που συνδεόταν με την ισπανική κυβέρνηση.
Δείτε επίσης: Κινέζοι hackers χρησιμοποιούν ευπάθεια του Trimble Cityworks
Η αποκάλυψη της hacking ομάδας Careto ξεκίνησε από μια απρόσμενη πηγή: την Κούβα. Σύμφωνα με πρώην εργαζόμενους της Kaspersky, οι ερευνητές της εταιρείας ήρθαν για πρώτη φορά αντιμέτωποι με τα ίχνη της ομάδας όταν εντόπισαν στοχευμένες επιθέσεις σε κυβερνητικά συστήματα της Κούβας.
«Όλα ξεκίνησαν με έναν κυβερνητικό υπάλληλο στην Κούβα που είχε μολυνθεί», αποκάλυψε ένας από τους συμμετέχοντες στην έρευνα, αναφερόμενος στο περιστατικό ως «ασθενή μηδέν». Η στοχοποίηση αυτή φάνηκε να έχει ιδιαίτερο βάρος, καθώς, σύμφωνα με τις ίδιες πηγές, η παρουσία μελών της βασκικής τρομοκρατικής οργάνωσης ETA στην Κούβα εκείνη την περίοδο ίσως αποτέλεσε κίνητρο για το κατασκοπευτικό ενδιαφέρον των hackers Careto.
Η τεχνική αναφορά που ακολούθησε από την Kaspersky επιβεβαίωσε ότι η Κούβα κατέγραφε τον υψηλότερο αριθμό θυμάτων από τις επιθέσεις της ομάδας, με ένα συγκεκριμένο ανώνυμο κυβερνητικό ίδρυμα να συγκεντρώνει το μεγαλύτερο ενδιαφέρον των επιτιθέμενων.
Η στοχευμένη αυτή παραβίαση αποτέλεσε τον καταλύτη για την ευρύτερη έρευνα που τελικά συνέδεσε την ομάδα Careto με κύκλους εντός της ισπανικής κυβέρνησης — ρίχνοντας φως σε μία από τις πιο σκιώδεις και εξελιγμένες επιχειρήσεις ψηφιακής κατασκοπείας της τελευταίας δεκαετίας.
Όπως προείπαμε, η εταιρεία κυβερνοασφάλειας Kaspersky επέλεξε να μην αποδώσει δημόσια ευθύνες για τις δραστηριότητες της κατασκοπευτικής ομάδας Careto, αλλά εσωτερικά το τοπίο ήταν πολύ πιο ξεκάθαρο.
«Ξέραμε ποιος ήταν», ανέφερε χαρακτηριστικά ένας πρώην αναλυτής της Kaspersky, ενώ άλλοι δύο επιβεβαίωσαν πως το ερευνητικό τμήμα της εταιρείας είχε καταλήξει στο ίδιο συμπέρασμα. Ωστόσο, η Kaspersky διατήρησε μια σταθερή πολιτική “μη απόδοσης” (non-attribution), αποφεύγοντας να στοχοποιήσει ευθέως κυβερνήσεις.
«Δεν το ανακοινώσαμε γιατί, κατά τη γνώμη μου, δεν ήθελαν να στοχοποιήσουν ανοιχτά μια κυβέρνηση όπως της Ισπανίας», δήλωσε πρώην στέλεχος της ομάδας ανάλυσης απειλών. «Eίχαμε μια αυστηρή πολιτική «μη απόδοσης» στην Kaspersky, η οποία ποτέ δεν παραβιάστηκε».
Δείτε επίσης: Οι hackers UNC5221 χρησιμοποιούν ευπάθειες του Ivanti EPMM
Πέρα από την Κούβα, οι δραστηριότητες της ομάδας Careto εντοπίστηκαν σε πολλές χώρες, μεταξύ αυτών η Βραζιλία, το Μαρόκο, ακόμη και η ίδια η Ισπανία. Ωστόσο, ένας από τους πιο αποκαλυπτικούς στόχους ήταν το Γιβραλτάρ – στο νότιο άκρο της Ιβηρικής που διεκδικείται ιστορικά από την Ισπανία. Η παρουσία των hackers Careto εκεί ενισχύει τις υπόνοιες για ισπανική εμπλοκή.
Η Kaspersky, ερωτηθείσα από το TechCrunch, αρνήθηκε να σχολιάσει τα πορίσματα της εσωτερικής της έρευνας. «Δεν προβαίνουμε σε επίσημες αποδόσεις ευθυνών», ανέφερε εκπρόσωπος της εταιρείας.
Careto hackers: Η αποκάλυψη
Η αποκάλυψη του κακόβουλου λογισμικού της ομάδας Careto από την Kaspersky το 2014 σηματοδότησε την αρχή της αποκωδικοποίησης μιας από τις πιο περίπλοκες επιχειρήσεις κυβερνοκατασκοπείας της εποχής. Με το που αναλύθηκε το λογισμικό, οι ερευνητές της εταιρείας απέκτησαν τη δυνατότητα να εντοπίζουν συστήματα που είχαν ήδη παραβιαστεί – και τα αποτελέσματα ήταν εντυπωσιακά.
Σύμφωνα με την τεχνική έκθεση της Kaspersky, οι hackers Careto είχαν μολύνει στόχους σε 31 χώρες, σε διάφορες ηπείρους. Στην Αφρική, εντοπίστηκε στην Αλγερία, το Μαρόκο και τη Λιβύη. Στην Ευρώπη, στόχοι εντοπίστηκαν σε χώρες όπως η Γαλλία, η Ισπανία και το Ηνωμένο Βασίλειο. Στη Λατινική Αμερική, οι ερευνητές εντόπισαν δραστηριότητα στη Βραζιλία, την Κολομβία, τη Βενεζουέλα και κυρίως στην Κούβα.
Η Κούβα, όπως επισημαίνει η Kaspersky, παρουσίασε τον μεγαλύτερο αριθμό θυμάτων ανά χώρα, με όλες τις μολύνσεις να εντοπίζονται εντός του ίδιου κρατικού οργανισμού. Οι αναλυτές θεώρησαν το γεγονός αυτό ενδεικτικό της στρατηγικής σημασίας που είχε η χώρα για τους δράστες.
Η ιδιαίτερη εστίαση στην Κούβα αποκτά επιπλέον νόημα αν αναλογιστεί κανείς τις γεωπολιτικές σχέσεις Ισπανίας-Κούβας εκείνης της περιόδου. Όπως ανέφερε το ισπανικό El País στα τέλη του 2013, περίπου 15 μέλη της βασκικής οργάνωσης ETA διέμεναν στην Κούβα με την ανοχή των αρχών. Επιπλέον, διπλωματικό τηλεγράφημα των ΗΠΑ που διέρρευσε το 2014 ανέφερε πως η Κούβα λειτουργούσε επί χρόνια ως καταφύγιο για μέλη της ETA. Νωρίτερα, το 2010, Ισπανός δικαστής είχε διατάξει τη σύλληψη στελεχών της τρομοκρατικής οργάνωσης που διέμεναν στην Κούβα.
Οι στόχοι της επιχείρησης κατασκοπείας της Careto δεν περιορίζονταν μόνο σε κρατικά δίκτυα και πρεσβείες. Όπως αποκάλυψε η Kaspersky, στο στόχαστρο μπήκαν και ενεργειακές εταιρείες, ερευνητικά ιδρύματα αλλά και ακτιβιστές – στοιχείο που επιβεβαιώνει τη φύση της ομάδας ως εργαλείου ευρείας στρατηγικής παρακολούθησης.
Δείτε επίσης: Οι hackers SideWinder στοχεύουν κυβερνητικά ιδρύματα στην Ασία
Η ανάλυση του κακόβουλου λογισμικού της ομάδας αποκάλυψε ότι η εκστρατεία ξεκίνησε ήδη από το 2007, με μεταγενέστερες εκδόσεις να μπορούν να στοχεύουν Windows, macOS, Linux, αλλά και πιθανώς Android και iOS συσκευές.
Μια χαρακτηριστική λεπτομέρεια ήταν η παρουσία της φράσης “Caguen1aMar” στον κώδικα – μια παραλλαγή της έκφρασης “me cago en la mar”, που χρησιμοποιείται σχεδόν αποκλειστικά στην Ισπανία.
Στην ανάλυσή της το 2014, η Kaspersky χαρακτήρισε την Careto ως μία από τις πιο εξελιγμένες κυβερνοαπειλές της εποχής κλέβοντας ευαίσθητα δεδομένα από τα παραβιασμένα συστήματα. Η Kaspersky είπε ότι το κακόβουλο λογισμικό θα μπορούσε επίσης να υποκλέψει internet traffic, συνομιλίες Skype, κλειδιά κρυπτογράφησης (PGP) και διαμορφώσεις VPN, να τραβήξει στιγμιότυπα οθόνης και να “ανακτήσει όλες τις πληροφορίες από συσκευές Nokia”.
Η ομάδα χρησιμοποιούσε phishing emails, παραπλανώντας τα θύματα με ψεύτικους συνδέσμους που υποδύονταν γνωστές ισπανικές εφημερίδες όπως El País, El Mundo και Público. Οι επιθέσεις συχνά καλύπτονταν πίσω από θεματικές όπως πολιτικά βίντεο και συνταγές φαγητού. Πρώην στέλεχος της Kaspersky αποκάλυψε στο TechCrunch ότι αρκετοί σύνδεσμοι περιείχαν και αναφορές στην τρομοκρατική οργάνωση ETA, λεπτομέρεια που δεν συμπεριλήφθηκε στην αρχική έκθεση της εταιρείας.
Μόλις το θύμα έκανε κλικ, ένα exploit αναλάμβανε να παραβιάσει τη συσκευή και να ανακατευθύνει τον χρήστη σε νόμιμο ιστότοπο, ώστε να αποφευχθούν οι υποψίες.
Η Kaspersky σημείωσε ότι η αρχική ανίχνευση της Careto το 2014 έγινε όταν οι χάκερ εκμεταλλεύτηκαν μια ήδη επιδιορθωμένη ευπάθεια σε παλιότερες εκδόσεις του δικού της λογισμικού antivirus.
Όμως, η αποκάλυψη της δραστηριότητας από την Kaspersky οδήγησε σε άμεση και συντονισμένη απενεργοποίηση του δικτύου της Careto. Οι χάκερ καθάρισαν όλα τα ίχνη, διαγράφοντας ακόμα και τα logs – μια κίνηση που, σύμφωνα με τους αναλυτές, σπάνια συναντάται εκτός των πλέον εξελιγμένων κυβερνητικών επιχειρήσεων κατασκοπείας.
«Δεν το κάνεις αυτό χωρίς απόλυτη ετοιμότητα», είπε πρώην υπάλληλος της Kaspersky. «Καθάρισαν όλο το σύστημα, γρήγορα και συστηματικά. Εξαφανίστηκαν. Boom.»
Η επανεμφάνιση της Careto: Επιστροφή μετά από μία δεκαετία σιωπής
Για σχεδόν μια δεκαετία, η παγκόσμια κοινότητα κυβερνοασφάλειας δεν είχε ξαναδεί ίχνη της Careto — μέχρι τον Μάιο του 2024. Η Kaspersky αποκάλυψε τότε ότι εντόπισε ξανά δραστηριότητα της ομάδας, αυτή τη φορά σε έναν ανώνυμο οργανισμό στη Λατινική Αμερική, ο οποίος είχε στοχοποιηθεί ξανά το 2022, το 2019, αλλά και μια φορά ακόμη πριν από πάνω από 10 χρόνια.
Δείτε επίσης: Το Ισραήλ συλλαμβάνει νέο ύποπτο για το hack της Nomad Bridge
Σε δεύτερη φάση, εντοπίστηκε νέα επίθεση σε οργανισμό στην Κεντρική Αφρική.
Τον Δεκέμβριο του 2024, οι ερευνητές παρατήρησαν κοινά ονόματα αρχείων, επαναλαμβανόμενες τακτικές, τεχνικές και διαδικασίες (TTPs), που οδήγησαν την Kaspersky να αποδώσει τις επιθέσεις στην Careto «με μέτρια προς υψηλή σιγουριά».
Κατά την παρουσίασή τους στο συνέδριο Virus Bulletin 2024, οι ερευνητές Georgy Kucherin και Marc Rivero López ανέφεραν ότι η Careto «πάντα λειτουργούσε με ακραία προσοχή», αλλά αυτή τη φορά έκανε «μικρά αλλά κρίσιμα λάθη» που πρόδωσαν την ταυτότητά της.
Παρά τις ενδείξεις, η ταυτότητα της ομάδας παραμένει ασαφής. Όπως ανέφερε ο Kucherin:
«Είναι πολύ πιθανό να πρόκειται για δράση κρατικού φορέα. Αλλά το ποιος ακριβώς το ανέπτυξε, είναι τεχνικά αδύνατο να προσδιοριστεί».
Η πιο πρόσφατη εκστρατεία των hackers Careto περιέλαμβανε παραβίαση του email server οργανισμού στη Λατινική Αμερική και μόλυνση με νέο κακόβουλο λογισμικό, επαναφέροντας στο προσκήνιο έναν από τους πιο μυστηριώδεις και επικίνδυνους ψηφιακούς κατασκόπους της τελευταίας δεκαετίας.
Σε μια από τις πιο αποκαλυπτικές αναλύσεις της Kaspersky για τη δράση της Careto, οι ερευνητές εντόπισαν ένα σύστημα όπου το κακόβουλο λογισμικό είχε τη δυνατότητα να ενεργοποιεί κρυφά το μικρόφωνο του υπολογιστή, παρακάμπτοντας μάλιστα το εικονίδιο ειδοποίησης των Windows που προειδοποιεί τον χρήστη για τη λειτουργία του. Πέρα από την ηχητική καταγραφή, το malware είχε πρόσβαση σε προσωπικά αρχεία, session cookies που παρέχουν πρόσβαση σε λογαριασμούς χωρίς να απαιτείται επαλήθευση, και κωδικούς πρόσβασης αποθηκευμένους σε διάφορους browsers.
Σε μια άλλη περίπτωση, οι χάκερ εγκατέστησαν ένα σύνολο implants, το οποίο περιλάμβανε backdoor, keylogger και λογισμικό λήψης στιγμιότυπων οθόνης, δίνοντας πλήρη πρόσβαση στις ενέργειες του θύματος.
Πηγή: techcrunch.com
