Cyberspionage "The Mask" spähte Regierungen und Unternehmen weltweit aus

Über Jahre wurden mit Spähsoftware Behörden, Botschaften und Energiekonzerne weltweit ausgeforscht. Russische Experten nennen die Spionageaktion, die auch deutsche Rechner traf, "The Mask". Die Urheber sind unbekannt - sie scheinen aber Spanisch zu sprechen.

Grafik von Kaspersky: Betroffen sind Opfer aus 31 Ländern
Kaspersky

Grafik von Kaspersky: Betroffen sind Opfer aus 31 Ländern


Moskau - Ein großangelegter Spionageangriff ist ans Licht gekommen, er zielte auf Regierungsorganisationen, Unternehmen und diplomatische Vertretungen weltweit. Die russische IT-Sicherheitsfirma Kaspersky Lab hat eine Gruppe von Schadprogrammen analysiert, die sie "The Mask" nennt. Bei Kaspersky bezeichnet man den Vorgang als "Cyberspionage-Kampagne". Betroffen seien Opfer aus 31 Ländern, auch aus Deutschland.

380 befallene Geräte haben die Fachleute bislang ausgemacht, die Angreifer konnten die infizierten Rechner ausspähen und unter ihre Kontrolle bringen, wichtige Dokumente und Schlüssel stehlen. Wie hoch die Opferzahl wirklich ist, ist aber unbekannt. Betroffen sind nicht nur Botschaften und Regierungseinrichtungen, sondern auch Energie-, Öl- und Gasunternehmen sowie Forschungseinrichtungen und Aktivisten.

Bei der Analyse der Malware stießen die Fachleute auf spanische Vokabeln, unter anderem auf "Careto", eine umgangssprachliche Bezeichnung für "Visage" oder "Maske" - so kam "The Mask" zu ihrem Namen. Nach Sichtung des Codes geht man bei Kaspersky davon aus, dass Spanisch die Muttersprache der Malware-Autoren ist.

Es handele sich um "eine äußerst ausgeklügelte Malware", heißt es bei Kaspersky, es gibt Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS, so dass auch Mobilgeräte wie Smartphones und Tablets angegriffen werden könnten.

Seit mindestens fünf Jahren aktiv

Infiziert wurden die Opfer zum Beispiel über E-Mails mit Links auf eine infizierte Webseite. Sobald der Rechner infiziert war, wurden die Nutzer von der verseuchten Webseite auf eine saubere weitergeleitet, etwa auf YouTube oder auf die Seiten bekannter spanischer und internationaler Zeitungen.

Abgesehen hatten es die Angreifer auf sensible Daten, etwa Arbeitsdokumente, Verschlüsselungscodes, VPN-Konfigurationen für sichere Verbindungen oder SSH-Schlüssel.

"Es gibt zahlreiche Anzeichen dafür, dass hinter 'The Mask' eine nationalstaatlich unterstützte Kampagne steht", sagt Costin Raiu von Kaspersky. Die Angreifer würden hochprofessionell vorgehen und nutzten für Cyberkriminelle ungewöhnlich raffinierte Werkzeuge.

Kaspersky hält "The Mask" für die erste entdeckte Spionage-Operation aus einem spanischsprachigen Land. Welche Regierung im Verdacht stehen könnte, wollte die Firma nicht sagen. Am aktivsten sei "The Mask" aber in Marokko gewesen, gefolgt von Brasilien, Großbritannien, Frankreich und Spanien.

Liam O'Murchu von Symantec, der amerikanischen Konkurrenz von Kaspersky, sagte allerdings, es sei schwierig auszumachen, wer wohl hinter "The Mask" stecke. "Wenn man sich nur die Ziele ansieht, wird nicht deutlich, wer sie angreifen würde; es gibt kein offensichtliches Muster", so der Sicherheitsforscher, "der Code ist professionell geschrieben, aber es ist schwer zu sagen, ob er von einer Regierung geschrieben wurde oder von einer privaten Firma, die solche Software verkauft".

Auf die "Maske" gestoßen sind die russischen Experten im Jahr 2013, weil Kaspersky-Software betroffen war. Seit mindestens fünf Jahren sei "The Mask" aktiv gewesen, bis zum Januar 2014. Bislang war sie unentdeckt geblieben. Erste Hinweise auf die Careto-Software stammten aus dem Jahr 2007, teilt Kaspersky mit. Während der Untersuchungen der russischen Sicherheitsfirma wurden die Command-and-Control-Server abgeschaltet, mit denen die von der Schadsoftware befallenen Rechner ferngesteuert und ausgespäht wurden.

juh/Reuters



insgesamt 15 Beiträge
Alle Kommentare öffnen
Seite 1
personalprivacy 11.02.2014
1. Klingt definitiv nach einem Geheimdienst
Obwohl mich das weniger stört, als wenn Millionen und Abermillionen von Privatpersonen ausspioniert werden. Von der Spionage der „Aktivisten“ mal abgesehen.
herbert 11.02.2014
2. Firewall !!!!!!!!!
Security ist teuer aber extrem wichtig bei den Unternehmen, gleich welcher Art. Dumme Unternehmen sparen an Sicherheit und wundern sich ploetzlich, dass Eindringlinge in der Software sind. Unternehmen mit hochwichtigen Daten haben zig Firewalls als Schutz und jeder Angriff wird sofort festgestellt. Das ist naturlich sehr teuer aber hochwichtige Daten muessen so geschuetzt werden. Auch die Justiz ist gefragt, denn diese Art von Angriffe muessen massiv hart mit vielen Jahren Bau bestraft werden. Letztlich ist das Thema fuer die Politik so neu und unbekannt, weil viele Politiker noch nicht einmal ihren eigenen PC bedienen koennen.
volkmarsi 11.02.2014
3. Strukturen außerhalb von Regierungen
möglicherweise sind da Machtstrukturen aktiv die außerhalb von Regierungen aggieren. Man sollte die Angriffsziele untersuchen ob da mit den entwendeten Daten nicht Chaos weltweit bzw. länderübergreifend verursacht werden könnte.
unwichtig23 11.02.2014
4. Spanisch...
...kommt mir das nicht vor. Was sagt schon eine Sprache über den eigentlichen Täter. In jedem Geheimdienst gibt es Leute die jede nur erdenkliche Sprache sprechen und um auf Nummer sicher zugehen und von sich selbst abzulenken ist wohl die Sprachwahl die Nr.1 der Verschleierung....
foobar99 11.02.2014
5. @herbert
Bitte, seien Sie nicht so naiv. Eine Firewall schützt nicht vor "jedem" Angriff, sondern sogar vor den wenigsten. Es genügt schon eine einzige Sicherheitslücke im Browser, die nicht bekannt ist. Auch die Forderung nach massiven Strafen für Angriffe ist absurd. Die meisten Angriffer sind gar nicht im Machtbereich der deutschen Justiz. Im Gegenteil ist in Deutschland schon die Suche nach Sicherheitsproblem an der Grenze zum Illegalen. Hohe Strafen sind ein beliebtes Ablenkungsmittel der Politik, helfen aber nicht um Gefahren abzuwenden.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.