The Mask-Spionage blieb über Jahre unentdeckt
Eine Spionage-Malware konnte seit sieben Jahren unerkannt auf einer ganzen Reihe von Plattformen und verschiedenen Ländern operieren. Die Urheber sind wahrscheinlich bei einer staatlichen Organisation zu suchen.
Die Spionage-Kampagne, zu der der russische Sicherheits-Dienstleister Kaspersky Lab jetzt Informationen veröffentlichte, wird als "The Mask" bezeichnet. Die Attacke gilt aufgrund ihrer Komplexität und der verwendeten Werkzeuge als eine der derzeit fortschrittlichsten Cyberspionage-Kampagnen, teilte dieser mit.
"Es gibt zahlreiche Anzeichen dafür, dass hinter 'The Mask' eine nationalstaatlich unterstützte Kampagne steht", sagte Costin Raiu, Leiter des Global Research and Analysis Team (GReAT) bei Kaspersky. "Zunächst haben wir einen sehr hohen Grad an Professionalität bei der operativen Durchführung dieser Kampagne festgestellt - vom Infrastrukturmanagement bis zum Shutdown der Kampagne. Daneben wurden neugierige Blicke etwa durch den Einsatz von Zugriffsregeln vermieden. Und auch die Tatsache, dass Logdateien mittels Wiping vollständig gelöscht wurden, lässt diese APT-Attacke in Sachen Perfektion zu einer der derzeit fortschrittlichsten Bedrohungen - noch vor Duqu - erscheinen. Das operative Sicherheitsniveau ist für konventionelle Cyberkriminelle ungewöhnlich."
Die Basis für die Kampagne bildet eine Malware mit Rootkit, Bootkit, Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS. Laut den Analysen gehören zu den Angriffszielen unter anderem Regierungsorganisationen, diplomatische Einrichtungen und Botschaften, Energie-, Öl- und Gas-Unternehmen sowie Forschungseinrichtungen und Aktivisten. Betroffen sind Opfer aus über 30 Ländern, darunter auch aus Deutschland und der Schweiz.
Die Angreifer hatten es mit der Malware vor allem auf sensible Daten wie Arbeitsdokumente, Verschlüsselungscodes, VPN-Konfigurationen, SSH-Schlüssel und RDP-Dateien abgesehen. Die Entdeckung der Schadroutinen ist dabei relativ kompliziert. Die Kaspersky-Forscher wurden auch nur auf die Malware aufmerksam, weil diese versuchte, eine schon seit fünf Jahren nicht mehr bestehende Lücke in Sicherheits-Tools des Unternehmens auszunutzen.
Die Infektion der gewünschten Rechner erfolgte wahrscheinlich über so genannte Spear-Pishing-E-Mails, mit denen gezielt bestimmte Nutzer auf Webseiten mit integrierter Malware geleitet wurden. Während der Untersuchungen habe man die Command-and-Control-Server von The Mask bereits abschalten können, so Kaspersky.
"Es gibt zahlreiche Anzeichen dafür, dass hinter 'The Mask' eine nationalstaatlich unterstützte Kampagne steht", sagte Costin Raiu, Leiter des Global Research and Analysis Team (GReAT) bei Kaspersky. "Zunächst haben wir einen sehr hohen Grad an Professionalität bei der operativen Durchführung dieser Kampagne festgestellt - vom Infrastrukturmanagement bis zum Shutdown der Kampagne. Daneben wurden neugierige Blicke etwa durch den Einsatz von Zugriffsregeln vermieden. Und auch die Tatsache, dass Logdateien mittels Wiping vollständig gelöscht wurden, lässt diese APT-Attacke in Sachen Perfektion zu einer der derzeit fortschrittlichsten Bedrohungen - noch vor Duqu - erscheinen. Das operative Sicherheitsniveau ist für konventionelle Cyberkriminelle ungewöhnlich."
Die Basis für die Kampagne bildet eine Malware mit Rootkit, Bootkit, Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS. Laut den Analysen gehören zu den Angriffszielen unter anderem Regierungsorganisationen, diplomatische Einrichtungen und Botschaften, Energie-, Öl- und Gas-Unternehmen sowie Forschungseinrichtungen und Aktivisten. Betroffen sind Opfer aus über 30 Ländern, darunter auch aus Deutschland und der Schweiz.
Die Angreifer hatten es mit der Malware vor allem auf sensible Daten wie Arbeitsdokumente, Verschlüsselungscodes, VPN-Konfigurationen, SSH-Schlüssel und RDP-Dateien abgesehen. Die Entdeckung der Schadroutinen ist dabei relativ kompliziert. Die Kaspersky-Forscher wurden auch nur auf die Malware aufmerksam, weil diese versuchte, eine schon seit fünf Jahren nicht mehr bestehende Lücke in Sicherheits-Tools des Unternehmens auszunutzen.
Die Infektion der gewünschten Rechner erfolgte wahrscheinlich über so genannte Spear-Pishing-E-Mails, mit denen gezielt bestimmte Nutzer auf Webseiten mit integrierter Malware geleitet wurden. Während der Untersuchungen habe man die Command-and-Control-Server von The Mask bereits abschalten können, so Kaspersky.
Thema:
Neue Downloads
Videos zum Thema Sicherheit
-
WhatsApp: Wie man ungewollte Gruppen-Einladungen vermeidet
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Super Bowl 2023: CrowdStrike zeigt, wie man echte Trojaner abwehrt
-
DNS über HTTPS: So aktiviert man die Verschlüsselung im Firefox
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
Aus dem Sicherheits-Forum
Kaspersky Lab Plus im Preisvergleich
IT-Hardpulse 
DownloadExperte 
Future-X.de 
We Office You 
Softperten Weiterführende Links
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
- AMD-Hotfix: Grafiktreiber-Probleme unter Windows per Update gelöst
- NASA Nancy-Grace-Teleskop in Florida: Start mit SpaceX rückt näher
- OnePlus-Smartphones bald nur noch eine Produktreihe von Oppo?
- Mit Druckluft gesteuertes X-65-Flugzeug hat seine Flügel bekommen
- Aktion endet bald: 80 GB 5G im Telekom-Netz für nur 12,49 Euro
- Mobilfunkmesswoche 2026: Wieder Jagd auf deutsche Funklöcher
- iPhone Fold: Besitzern drohen enorm hohe Verluste beim Wiederverkauf
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen