Kaspersky deckt neue Spionagesoftware auf

Details zu einer neuen Spionagesoftware hat Kaspersky Lab auf dem Kaspersky Security Analyst Summit vorgestellt. Sie trägt die Bezeichnung “The Mask”. Laut den Sicherheitsspezialisten handelt es sich dabei um “die derzeit fortschrittlichste Bedrohung”. Den Forschern zufolge kam die Software bereits seit 2007 gegen Regierungsbehörden, diplomatische Vertretungen und Botschaften, Energie-, Öl- und Gasunternehmen, Forschungseinrichtungen, Investmentfirmen und hochrangige Aktivisten zum Einsatz.

Laut Kaspersky haben Cyberkriminelle Phishing-E-Mails eingesetzt, um ihre Opfer auf manipulierte Websites zu locken. Diese gaben sich als Teile der Online-Angebote von Youtube sowie der Washington Post und des Guardian aus. Die Angreifer hosteten auf den Sites mehrere Exploits, die auf die unterschiedlichen Systemkonfigurationen der Besucher abgestimmt waren.

The Mask könne Verschlüsselungscodes, SSH-Schlüssel und Konfigurationsdateien für VPN und Microsofts Remote Desktop Protocol (RDP) stehlen, berichtet Kaspersky weiter. Auch mehrere unbekannte Dateiendungen überwache die Software. Diese werden von Verschlüsselungstools verwendet, die von Regierungen oder militärischen Einrichtungen eingesetzt werden.

“Was The Mask so besonders macht, ist die Komplexität der von den Angreifern benutzten Werkzeuge”, heißt es in einem Eintrag in Kasperskys Securelist-Blog. “Dazu zählen eine sehr ausgeklügelte Malware, ein Rootkit, ein Bootkit, Versionen für Mac OS X und Linux und wahrscheinlich Versionen für Android sowie iPad/iPhone (iOS).”

Ältere Versionen von Kaspersky-Produkten können die Spionagesoftware nicht entdecken. Sie sei sogar höher entwickelt als der Stuxnet-Nachfolger Duqu. Als sehr professionell stufen die Sicherheitsforscher die Hintermänner ein. Sogar die eigene Infrastruktur hätten sie überwacht. “Das und andere Faktoren legen die Vermutung nahe, dass es sich um eine staatlich gestützte Operation handelt.”

Einrichtungen in 31 Ländern wurden zu Opfern von Angriffen mit Mask. Die meisten davon entdeckte Kaspersky in Marokko, Brasilien und Großbritannien. Aber auch Frankreich, Spanien, den USA und Deutschland waren betroffen

Derzeit sei The Mask jedoch nicht aktiv. “Alle bekannten Befehlsserver sind offline”, ergänzte Kaspersky. “Die Kampagne ging von 2007 bis Januar 2014, aber während unserer Ermittlungen waren die Befehlsserver abgeschaltet. Wir können aber nicht ausschließen, dass die Angreifer ihre Kampagne in der Zukunft fortsetzen.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de