IT & Internet

The Mask: Professionelle Malware-Kampagne aufgedeckt

Seit 2007 lief die Malware-Kampagne ‚The Mask‘.

Sie soll vom Staat finanziert worden sein. Profis sollen weltweit etwa 1.000 Computersysteme mit einer sogenannten Malware infiziert haben.

Eine der Schwachstellen wurde bereits in der Vergangenheit vom französischen Unternehmen Vupen entdeckt.

Android- und iOS-Geräte im Visier der Profis

Die Malware-Kampagne wurde viele Jahre lang nicht entdeckt. Profis sollen Computersysteme, Kaspersky-Forschern zufolge, mit einer Kombination aus einer hochmodernen Malware, einem Rootkit, einem Bootkit und Malware-Versionen für Mac OS X und Linux infiziert haben.

Möglicherweise wurden auch Android- und iOS-Geräte mit der Schadsoftware infiziert. Klare Beweise gebe es dafür jedoch nicht.

Drei Computer in Deutschland wurden verseucht

Laut Kaspersky sollen über 400 Computersysteme in 31 Staaten infiziert worden sein. Davon waren drei Computer in Deutschland betroffen.

Was sollte mit ‚The Mask‘ erreicht werden?

Ziel der Malware-Attacken waren Regierungsbehörden, Büros von Diplomaten, Botschaften, Energie-, Öl- und Gasunternehmen sowie Forschungseinrichtungen und Büros von Aktivisten.

Die Schadsoftware verschaffte sich Zugriff auf verschiedenste Dateien. Neben Office-Dokumenten wurde auf private Keys zum Signieren von PDF-Dokumenten, VPN-Konfigurationsdateien, PGP-Keys, SSH-Schlüsseln und Dateien zur Konfiguration des Remote Desktop Clients oder kurz RDP zugriffen.

Telefongespräche wurden aufgezeichnet

Durch die Malware soll es den Profis außerdem möglich gewesen sein, Telefongespräche mitzuschneiden und Tastatureingaben zu verfolgen. Die geklauten Daten wurden sicher verschlüsselt auf dem Command & Control-Server abgelegt.

Eine ausgefeilte Malware-Kampagne

Costin Raiu, der Leiter von Kasperskys Global Research and Analysis Team (GreAT) erklärte, dass er noch nie eine ausgefeiltere Malware-Kampagne gesehen habe. Selbst Flame könne da nicht mithalten.

Die Entwickler der Malware gingen hochprofessionell vor. Es seien immer noch nicht alle Verbreitungswege sowie Teile der Schadsoftware zu erklären, hieß es weiter.

Personalisierte Phishing-E-Mails

Die Profis verschickten unter anderem Phishing-E-Mails. Die URL wurde für jeden Zielrechner neu erstellt. Nachdem der Computer mit der Schadsoftware infiziert war, wurde die URL gelöscht.

Riefen Betroffene die URL auf, scannte der Webserver den Computer des Opfers und schleuste die Malware über den passenden Exploit auf den Rechner ein.

Laut Symantec wurden E-Mail-Anhänge zur Infektion der Systeme verwendet.

Kaspersky konnte Server untersuchen

Für kurze Zeit konnte Kaspersky einen der Server untersuchen, der für die Infektion der Computer verantwortlich war. Es wurden Exploits für Sicherheitslücken in Java (CVE-2011-3544) und Adobe Flash 10.3 entdeckt.

Die Sicherheitslücke, die für diese Zwecke ausgenutzt wurde, wurde in Flash (CVE-2012-0773) Ende 2012 behoben und gilt als besonders gefährlich.

Erstmals wurde sie vom französischen Unternehmen Vupen entdeckt. Anfang 2012 wurde sie von den Bugjägern im Rahmen des Pwn2Own 2012 Wettbewerbs verwendet und war für den ersten erfolgreichen Ausbruch aus der Sandbox von Google Chrome verantwortlich.

Details darüber gab das Unternehmen nicht bekannt und verzichtete auf das Preisgeld.

Schwachstellen werden verkauft

Die Schwachstelle machte Vupen zahlungskräftigen Kunden zu Nutze. Laut Costin Raiu wurde von Adobe bestätigt, dass die Schwachstelle, die von ‚The Mask‘ missbraucht wurde, mit der von Vupen identisch ist.

Bisher konnte noch nicht aufgeklärt werden, ob die Entwickler der Malware ihre Sicherheitslücke selbst entdeckt haben oder ob sie zu den Kunden von Vupen gehören.

Alle Spuren im Netz verwischt

Raiu erklärte, dass die Systeme von Mac-Nutzern mit Hilfe eines bösartigen Firefox-Plugins infiziert werden sollten. Getarnt wurde das Plugin als Videoplayer. Auf dem Exploit-Server wurden, laut seinen Angaben, derartige Plugins gefunden.

Als die Plugins untersucht wurden, konnten darin keine Schadcodes gefunden werden. Von der professionellen Malware-Kampagne gibt es im Netz keine Spur mehr.

Vier Stunden, nachdem Kaspersky seine Analyse in einem Blogeintrag der Öffentlichkeit zugänglich machte, konnten die Server von ‚The Mask‘ nicht mehr im Netz aufgefunden werden.

Bei der Malware-Kampagne ‚Flame‘ dauert es zwei Tage, alle Spure zu verwischen. Dies sei ein weiterer Hinweis darauf, wie professionell die Entwickler der Malware vorgingen.



Erstellen Sie den ersten Kommentar!

Kommentieren

Sie müssen eingeloggt sein um zu kommentieren.