Careto, The Mask

Eine Kampagne, bei der vermutlich rund 1000 Rechner infiziert wurden, und die seit 2007 lief, ohne das jemand etwas bemerkte? Klingt interessant.

Sie nennt sich „Careto“, wird aber derzeit von allen nur „The Mask“ genannt, was mit Blick auf die lange unentdeckte Tätigkeit keine schlechte Wahl ist. Ziele waren anscheinend die Systeme von Regierungen, diplomatischen Einrichtungen, Energieversorgern und mehr oder weniger öffentliche Organisationen. Also hauptsächlich virale Systeme.

Das die Kampagne so lange unentdeckt blieb, dürfte zum einen an der relativ geringen Zahl der infizierten Systeme liegen, die auch nicht wahllos gewählt sondern gezielt infiziert wurden. Das verringert die Gefahr einer Entdeckung enorm. Zum anderen stehen starke Vermutungen im Raum, das es sich um eine Regierungs-Kampagne, oder zumindest um eine von einer Regierung geförderte Kampagne handelt. Wen man bedenkt wie konsequent die Deutsche Regierung an der Aufklärung der Aktivitäten ihrer amerikanischen Kollegen interessiert ist, bietet das wohl einen zusätzlichen Schutz.

Auf der technischen Seite gibt es ebenfalls ein paar pikante Details. Es wurden Sicherheitslücken in Flash, Java und diversen Browsern genutzt. Zielsysteme waren Windows, Mac, Linux, Android und iOS, also so ziemlich alles. Das allein ist schon ungewöhnlich. Das pikanteste Detail: eine der Sicherheitslücken wurde schon Anfang 2012 von „Vupen“ entdeckt und vorgeführt, aber es wurden keine Details veröffentlicht. Statt dessen wollte man die Lücke an den meistbietenden verkaufen.

Das die Akteure hinter der Kampagne einen recht professionellen Eindruck machen, liegt nicht nur an der überaus gezielten Aktivität, der lange unentdeckten Operation oder dem enormen Maß an Aufwand und Sorgfalt, sondern auch daran, das die gesamte Kampagne nur 4 Stunden nach der Entdeckung aus dem Netz verschwunden war. Restlos.

Kaspersky Lab Uncovers “The Mask”: One of the Most Advanced Global Cyber-espionage Operations to Date Due to the Complexity of the Toolset Used by the Attackers

PDF-Bericht: http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf

Weitere Artikel:

heise: The Mask: Hochprofessionelle Malware-Kampagne fünf Jahre lang unentdeckt

golem: Hochentwickelter Cyberangriff auf Energieunternehmen

ntv: „The Mask“ übertrifft alle Spionagewerkzeuge

spon: Cyberspionage: „The Mask“ spähte Regierungen und Unternehmen weltweit aus