Cyberspionage "The Mask" spähte Regierungen und Unternehmen weltweit aus
Grafik von Kaspersky: Betroffen sind Opfer aus 31 Ländern
Foto: KasperskyMoskau - Ein großangelegter Spionageangriff ist ans Licht gekommen, er zielte auf Regierungsorganisationen, Unternehmen und diplomatische Vertretungen weltweit. Die russische IT-Sicherheitsfirma Kaspersky Lab hat eine Gruppe von Schadprogrammen analysiert , die sie "The Mask" nennt. Bei Kaspersky bezeichnet man den Vorgang als "Cyberspionage-Kampagne ". Betroffen seien Opfer aus 31 Ländern, auch aus Deutschland.
380 befallene Geräte haben die Fachleute bislang ausgemacht, die Angreifer konnten die infizierten Rechner ausspähen und unter ihre Kontrolle bringen, wichtige Dokumente und Schlüssel stehlen. Wie hoch die Opferzahl wirklich ist, ist aber unbekannt. Betroffen sind nicht nur Botschaften und Regierungseinrichtungen, sondern auch Energie-, Öl- und Gasunternehmen sowie Forschungseinrichtungen und Aktivisten.
Bei der Analyse der Malware stießen die Fachleute auf spanische Vokabeln , unter anderem auf "Careto", eine umgangssprachliche Bezeichnung für "Visage" oder "Maske" - so kam "The Mask" zu ihrem Namen. Nach Sichtung des Codes geht man bei Kaspersky davon aus, dass Spanisch die Muttersprache der Malware-Autoren ist.
Es handele sich um "eine äußerst ausgeklügelte Malware", heißt es bei Kaspersky, es gibt Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS, so dass auch Mobilgeräte wie Smartphones und Tablets angegriffen werden könnten.
Seit mindestens fünf Jahren aktiv
Infiziert wurden die Opfer zum Beispiel über E-Mails mit Links auf eine infizierte Webseite. Sobald der Rechner infiziert war, wurden die Nutzer von der verseuchten Webseite auf eine saubere weitergeleitet, etwa auf YouTube oder auf die Seiten bekannter spanischer und internationaler Zeitungen.
Abgesehen hatten es die Angreifer auf sensible Daten, etwa Arbeitsdokumente, Verschlüsselungscodes, VPN-Konfigurationen für sichere Verbindungen oder SSH-Schlüssel.
"Es gibt zahlreiche Anzeichen dafür, dass hinter 'The Mask' eine nationalstaatlich unterstützte Kampagne steht", sagt Costin Raiu von Kaspersky. Die Angreifer würden hochprofessionell vorgehen und nutzten für Cyberkriminelle ungewöhnlich raffinierte Werkzeuge.
Kaspersky hält "The Mask" für die erste entdeckte Spionage-Operation aus einem spanischsprachigen Land. Welche Regierung im Verdacht stehen könnte, wollte die Firma nicht sagen. Am aktivsten sei "The Mask" aber in Marokko gewesen, gefolgt von Brasilien, Großbritannien, Frankreich und Spanien.
Liam O'Murchu von Symantec, der amerikanischen Konkurrenz von Kaspersky, sagte allerdings, es sei schwierig auszumachen, wer wohl hinter "The Mask" stecke. "Wenn man sich nur die Ziele ansieht, wird nicht deutlich, wer sie angreifen würde; es gibt kein offensichtliches Muster", so der Sicherheitsforscher, "der Code ist professionell geschrieben, aber es ist schwer zu sagen, ob er von einer Regierung geschrieben wurde oder von einer privaten Firma, die solche Software verkauft".
Auf die "Maske" gestoßen sind die russischen Experten im Jahr 2013, weil Kaspersky-Software betroffen war. Seit mindestens fünf Jahren sei "The Mask" aktiv gewesen, bis zum Januar 2014. Bislang war sie unentdeckt geblieben. Erste Hinweise auf die Careto-Software stammten aus dem Jahr 2007, teilt Kaspersky mit. Während der Untersuchungen der russischen Sicherheitsfirma wurden die Command-and-Control-Server abgeschaltet, mit denen die von der Schadsoftware befallenen Rechner ferngesteuert und ausgespäht wurden.
