26/05/25
История одной из самых таинственных кибергруппировок современности получила неожиданное продолжение. Через десять лет после обнаружения Careto (также известной как The Mask), специалисты, участвовавшие в расследовании, подтвердили: за шпионской кампанией стояли структуры, связанные с правительством Испании. Эти сведения были озвучены бывшими сотрудниками Лаборатории Касперского, которая первой обнаружила Careto в 2014 году, но тогда сознательно отказалась от открытых заявлений.
Впервые команда обратила внимание на аномальный сетевой трафик, связанный с предполагаемыми фишинговыми атаками. Однако чем глубже они копали, тем яснее становилось, что они столкнулись с гораздо более продвинутым оператором. Цепочка атак вела к заражению правительственной сети на Кубе — именно это стало отправной точкой расследования. Уровень сложности вредоносного кода, его скрытность и специфические цели позволили исследователям со временем выделить Careto в отдельную категорию — элитную угрозу государственного уровня.
Название «Careto» появилось благодаря испанскому слову, найденному в теле вредоносной программы. Уже тогда специалисты заметили массу культурных и лингвистических следов, указывавших на испанское происхождение. Среди них — строка «Caguen1aMar» (искажённое испанское ругательство), использование тем, связанных с Баскской организацией ETA, и фишинговые письма, стилизованные под новостные сайты вроде El País и Público. Но ключевым моментом стала концентрация атак именно на Кубе, где, по имеющимся данным, находились члены ETA, скрывавшиеся от испанского правосудия. Испания традиционно проявляла особый интерес к кубинскому политическому контексту — и шпионская активность в этом регионе выглядела более чем уместной.
Careto атаковали не только Кубу. Жертвами стали организации в 31 стране — от Франции и Великобритании до Бразилии, Марокко, Ливии и даже самой Испании. В списке также оказался Гибралтар — геополитически чувствительная территория, которую Мадрид считает своей. Помимо правительственных учреждений, целью стали энергетические компании, научные институты, дипломатические миссии и активисты.
Вредоносное ПО Careto оказалось крайне мощным: оно позволяло похищать документы, перехватывать Skype-разговоры, снимать скриншоты, извлекать PGP-ключи и даже незаметно включать микрофон на заражённых устройствах. Варианты программы были найдены для Windows, macOS, Linux и, возможно, мобильных платформ — Android и iOS. Кроме того, в арсенале злоумышленников оказались эксплойты для антивирусов Касперского, что позволило атаковать пользователей незаметно, особенно на Кубе.
После публикации первого отчёта в 2014 году операторы Careto мгновенно свернули активность: удалили логи, очистили инфраструктуру и исчезли. Такие действия, по мнению исследователей, под силу лишь высокоподготовленным правительственным группам. Но в 2022 году Careto вновь проявили себя: была зафиксирована атака на организацию в Латинской Америке, ранее уже становившуюся их целью. Затем последовал ещё один инцидент в Центральной Африке.
Специалисты, представившие анализ этих атак на Virus Bulletin в 2024 году, отметили, что, несмотря на перерыв, Careto осталась такой же технологически изощрённой. Хакеры использовали модифицированные импланты, работавшие как бэкдоры, клавиатурные шпионы и утилиты для снятия скриншотов. Одна из атак включала в себя скрытое включение микрофона, кражу cookie-файлов, истории браузера и личных документов. При этом действия группы по-прежнему сопровождались высокой степенью осторожности и изоляции инфраструктуры.
Хотя нынешние представители Лаборатории Каспперского официально отказались подтверждать или опровергать причастность испанских властей, внутренние источники, участвовавшие в расследовании, утверждают: тогдашняя команда была «высоко уверена» в том, кто стоял за атакой. При этом они подчёркивают, что политика компании запрещала официальную атрибуцию, особенно в отношении правительств дружественных стран.
На фоне громких разоблачений таких групп, как Equation Group (США, вероятно — АНБ), Lamberts (предположительно ЦРУ) и Animal Farm (Франция), появление Испании в этом списке выглядит закономерным, пишет Securitylab.
