Neu entdeckte Spionagesoftware schnüffelte in 31 Ländern

SicherheitVirus
the-mask-careto-symbolbild-800

Kaspersky berichtet von Opfern bei Regierungsbehörden, Botschaften, Investmentfirmen und Forschungseinrichtungen. Auch Einrichtungen in Deutschland sind dem Sicherheitsunternehmen zufolge betroffen. Nach Ansicht der Sicherheitsforscher ist die “The Mask” genannte Sofware im Vergleich zum Stuxnet-Nachfolger Duqu noch einmal raffinierter konstruiert.

Auf dem Kaspersky Security Analyst Summit hat Kaspersky Lab Details zu einer neuen, “The Mask” genannten Spionagesoftware veröffentlicht (PDF). Die Sicherheitsexperten bezeichnen sie als eine der “derzeit fortschrittlichsten Bedrohungen”. Ihr Unwesen treibt sie allerdings schon seit 2007. Sie wurde in den vergangenen sieben Jahren eingesetzt, um Regierungsbehörden, Konsulate und Botschaften, Energie-, Öl- und Gasunternehmen, Forschungseinrichtungen, Investmentfirmen und prominente Aktivisten auszuspähen. Der Schwerpunkt lag dabei auf Marokko, Brasilien, Großbritannien, Frankreich und Spanien, aber auch in Deutschland sind Opfer bekannt.

careto-code-kaspersky
Die Bezeichnung “The Mask” verdankt die neu entdeckte Spionagesoftware dem in der spanischen Umgangssprache verwendeten Wort “Careto” (was Maske oder “häßliches Gesicht” bedeutet), das von den Autoren in einigen Malware-Modulen verwendet wurde (Screenshot: Kaspersky Labs).

Die Opfer wurden laut Kaspersky mit Phishing-E-Mails auf manipulierte Websites gelockt. Die tarnten sich unter anderem als Teile der Online-Angebote von Youtube, der Washington Post und des Guardian. Dort hosteten die Angreifer mehrere Exploits und waren so für unterschiedliche Systemkonfigurationen der Besucher gerüstet.

Kaspersky zufolge ist The Mask in der Lage, Verschlüsselungscodes, SSH-Schlüssel und Konfigurationsdateien für VPN und Microsofts Remote Desktop Protocol (RDP) zu stehlen. Die Software überwache zudem mehrere unbekannte Dateiendungen. Kaspersky vermutet, dass sie zu Verschlüsselungstools gehören, die von Regierungen oder militärischen Einrichtungen verwendet werden.

“Was The Mask so besonders macht, ist die Komplexität der von den Angreifern benutzten Werkzeuge”, erklären die Kaspersky-Experten. “Dazu zählen eine sehr ausgeklügelte Malware, ein Rootkit, ein Bootkit, Versionen für Mac OS X und Linux und wahrscheinlich Versionen für Android und iPad/iPhone(iOS).”

Die Spionagesoftware könne sich außerdem erfolgreich vor älteren Versionen von Kaspersky-Produkten verstecken. Damit sei sie sogar raffinierter konstruiert als der Stuxnet-Nachfolger Duqu. Die Hintermänner agierten außerdem ausgesprochen professionell und hätten sogar ihre Infrastruktur überwacht. “Das und andere Faktoren legen die Vermutung nahe, dass es sich um eine staatlich gestützte Operation handelt.”

Derzeit sei The Mask nicht aktiv. “Alle bekannten Befehlsserver sind offline”, ergänzte Kaspersky. “Die Kampagne ging von 2007 bis Januar 2014, aber während unserer Ermittlungen waren die Befehlsserver abgeschaltet. Wir können aber nicht ausschließen, dass die Angreifer ihre Kampagne in der Zukunft fortsetzen.”

Infografik von Kaspersky zur Spionagesoftware The Mask.
Laut den Experten von Kaspersky wurden mit der Spionagesoftware The Mask wenige, aber wichtige Einrichtungen gezielt und sehr professionell angegriffen. Der Schwerpunkt lag dabei auf Marokko, Brasilien und Großbritannien (Bild: Kaspersky).

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp der Redaktion: Anfang der 80er-Jahre trieb der erste Virus auf einem Personal Computer sein Unwesen, 1984 zirkulierte der erste Massenvirus auf dem Commodore 64. Dann ging es rapide weiter – bis zur Freisetzung politisch motivierter Cyber-Armeen, die sich gegenseitig bekämpfen. Dieser Artikel bei ITespresso vermittelt einen Überblick über die Geschichte der Computerviren .

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen