Kaspersky identifiziert neue Spionagesoftware „The Mask“

Kaspersky Lab hat auf dem Kaspersky Security Analyst Summit Details zu einer neuen Spionagesoftware namens „The Mask“ veröffentlicht. Die Sicherheitsforscher beschreiben sie als eine der „derzeit fortschrittlichsten Bedrohungen“. Sie wurde demnach schon seit 2007 gegen Regierungsbehörden, diplomatische Vertretungen und Botschaften, Energie-, Öl- und Gasunternehmen, Forschungseinrichtungen, Investmentfirmen und hochrangige Aktivisten eingesetzt.

Die Opfer wurden Kaspersky zufolge mit Phishing-E-Mails auf manipulierte Versionen bekannter Websites gelockt, die sich als Teile der Online-Angebote von Youtube sowie der Washington Post und des Guardian ausgaben. Dort hosteten die Angreifer mehrere Exploits für unterschiedliche Systemkonfigurationen der Besucher.

The Mask sei in der Lage, Verschlüsselungscodes, SSH-Schlüssel und Konfigurationsdateien für VPN und Microsofts Remote Desktop Protocol (RDP) zu stehlen, so Kaspersky weiter. Darüber hinaus überwache die Software auch mehrere unbekannte Dateiendungen. Kaspersky vermutet, dass sie von Verschlüsselungstools benutzt werden, die von Regierungen oder militärischen Einrichtungen verwendet werden.

„Was The Mask so besonders macht, ist die Komplexität der von den Angreifern benutzten Werkzeuge“, heißt es in einem Eintrag in Kasperskys Securelist-Blog. „Dazu zählen eine sehr ausgeklügelte Malware, ein Rootkit, ein Bootkit, Versionen für Mac OS X und Linux und wahrscheinlich Versionen für Android sowie iPad/iPhone (iOS).“

Die Spionagesoftware könne sich außerdem erfolgreich vor älteren Versionen von Kaspersky-Produkten verstecken. Damit sei sie sogar höher entwickelt als der Stuxnet-Nachfolger Duqu. Die Hintermänner agierten außerdem sehr professionell und hätten sogar ihre Infrastruktur überwacht. „Das und andere Faktoren legen die Vermutung nahe, dass es sich um eine staatlich gestützte Operation handelt.“

Die Angriffe mit Mask richteten sich gegen Ziele in 31 Ländern weltweit. Die meisten Opfer entdeckte Kaspersky in Marokko, Brasilien und Großbritannien. Es waren aber auch Nutzer in Frankreich, Spanien, den USA und Deutschland betroffen.

Derzeit sei The Mask jedoch nicht aktiv. „Alle bekannten Befehlsserver sind offline“, ergänzte Kaspersky. „Die Kampagne ging von 2007 bis Januar 2014, aber während unserer Ermittlungen waren die Befehlsserver abgeschaltet. Wir können aber nicht ausschließen, dass die Angreifer ihre Kampagne in der Zukunft fortsetzen.“

[mit Material von Violet Blue, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de