Kaspersky deckt neue Spionagesoftware auf

Details zu einer neuen Spionagesoftware hat Kaspersky Lab auf dem Kaspersky Security Analyst Summit vorgestellt. Sie trägt die Bezeichnung “The Mask”. Laut den Sicherheitsspezialisten handelt es sich dabei um “die derzeit fortschrittlichste Bedrohung”. Den Forschern zufolge kam die Software bereits seit 2007 gegen Regierungsbehörden, diplomatische Vertretungen und Botschaften, Energie-, Öl- und Gasunternehmen, Forschungseinrichtungen, Investmentfirmen und hochrangige Aktivisten zum Einsatz.

Laut Kaspersky haben Cyberkriminelle Phishing-E-Mails eingesetzt, um ihre Opfer auf manipulierte Websites zu locken. Diese gaben sich als Teile der Online-Angebote von Youtube sowie der Washington Post und des Guardian aus. Die Angreifer hosteten auf den Sites mehrere Exploits, die auf die unterschiedlichen Systemkonfigurationen der Besucher abgestimmt waren.

The Mask könne Verschlüsselungscodes, SSH-Schlüssel und Konfigurationsdateien für VPN und Microsofts Remote Desktop Protocol (RDP) stehlen, berichtet Kaspersky weiter. Auch mehrere unbekannte Dateiendungen überwache die Software. Diese werden von Verschlüsselungstools verwendet, die von Regierungen oder militärischen Einrichtungen eingesetzt werden.

“Was The Mask so besonders macht, ist die Komplexität der von den Angreifern benutzten Werkzeuge”, heißt es in einem Eintrag in Kasperskys Securelist-Blog. “Dazu zählen eine sehr ausgeklügelte Malware, ein Rootkit, ein Bootkit, Versionen für Mac OS X und Linux und wahrscheinlich Versionen für Android sowie iPad/iPhone (iOS).”

Ältere Versionen von Kaspersky-Produkten können die Spionagesoftware nicht entdecken. Sie sei sogar höher entwickelt als der Stuxnet-Nachfolger Duqu. Als sehr professionell stufen die Sicherheitsforscher die Hintermänner ein. Sogar die eigene Infrastruktur hätten sie überwacht. “Das und andere Faktoren legen die Vermutung nahe, dass es sich um eine staatlich gestützte Operation handelt.”

Einrichtungen in 31 Ländern wurden zu Opfern von Angriffen mit Mask. Die meisten davon entdeckte Kaspersky in Marokko, Brasilien und Großbritannien. Aber auch Frankreich, Spanien, den USA und Deutschland waren betroffen

Derzeit sei The Mask jedoch nicht aktiv. “Alle bekannten Befehlsserver sind offline”, ergänzte Kaspersky. “Die Kampagne ging von 2007 bis Januar 2014, aber während unserer Ermittlungen waren die Befehlsserver abgeschaltet. Wir können aber nicht ausschließen, dass die Angreifer ihre Kampagne in der Zukunft fortsetzen.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

3 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago