Kaspersky Lab hat auf dem Kaspersky Security Analyst Summit Details zu einer neuen Spionagesoftware namens „The Mask“ veröffentlicht. Die Sicherheitsforscher beschreiben sie als eine der „derzeit fortschrittlichsten Bedrohungen“. Sie wurde demnach schon seit 2007 gegen Regierungsbehörden, diplomatische Vertretungen und Botschaften, Energie-, Öl- und Gasunternehmen, Forschungseinrichtungen, Investmentfirmen und hochrangige Aktivisten eingesetzt.
Die Opfer wurden Kaspersky zufolge mit Phishing-E-Mails auf manipulierte Versionen bekannter Websites gelockt, die sich als Teile der Online-Angebote von Youtube sowie der Washington Post und des Guardian ausgaben. Dort hosteten die Angreifer mehrere Exploits für unterschiedliche Systemkonfigurationen der Besucher.
The Mask sei in der Lage, Verschlüsselungscodes, SSH-Schlüssel und Konfigurationsdateien für VPN und Microsofts Remote Desktop Protocol (RDP) zu stehlen, so Kaspersky weiter. Darüber hinaus überwache die Software auch mehrere unbekannte Dateiendungen. Kaspersky vermutet, dass sie von Verschlüsselungstools benutzt werden, die von Regierungen oder militärischen Einrichtungen verwendet werden.
„Was The Mask so besonders macht, ist die Komplexität der von den Angreifern benutzten Werkzeuge“, heißt es in einem Eintrag in Kasperskys Securelist-Blog. „Dazu zählen eine sehr ausgeklügelte Malware, ein Rootkit, ein Bootkit, Versionen für Mac OS X und Linux und wahrscheinlich Versionen für Android sowie iPad/iPhone (iOS).“
Die Spionagesoftware könne sich außerdem erfolgreich vor älteren Versionen von Kaspersky-Produkten verstecken. Damit sei sie sogar höher entwickelt als der Stuxnet-Nachfolger Duqu. Die Hintermänner agierten außerdem sehr professionell und hätten sogar ihre Infrastruktur überwacht. „Das und andere Faktoren legen die Vermutung nahe, dass es sich um eine staatlich gestützte Operation handelt.“
Die Angriffe mit Mask richteten sich gegen Ziele in 31 Ländern weltweit. Die meisten Opfer entdeckte Kaspersky in Marokko, Brasilien und Großbritannien. Es waren aber auch Nutzer in Frankreich, Spanien, den USA und Deutschland betroffen.
Derzeit sei The Mask jedoch nicht aktiv. „Alle bekannten Befehlsserver sind offline“, ergänzte Kaspersky. „Die Kampagne ging von 2007 bis Januar 2014, aber während unserer Ermittlungen waren die Befehlsserver abgeschaltet. Wir können aber nicht ausschließen, dass die Angreifer ihre Kampagne in der Zukunft fortsetzen.“
[mit Material von Violet Blue, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
