Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Cyberspionage-Kampagne "The Mask" enthüllt

Advanced-Persistent-Threats

Cyberspionage-Kampagne "The Mask" enthüllt

11. Februar 2014, 9:10 Uhr | Quelle: Kaspersky Lab
Fortsetzung des Artikels von Teil 1

Erkenntnisse der Malware-Kampagne

Die Kaspersky-Experten wurden im vergangenen Jahr auf „The Mask/Careto“ aufmerksam, als sie Exploit-Versuche auf eine Schwachstelle in den Unternehmenslösungen von Kaspersky Lab feststellten, obwohl die Schwachstelle bereits seit fünf Jahren behoben war. Das Exploit bot der Malware die Möglichkeit, sich vor Entdeckung zu schützen. Dadurch wurde das Interesse der Virenforscher geweckt und entsprechende Untersuchungen wurden eingeleitet.

Die Folgen für die Opfer können desaströs sein. So unterbricht „The Mask“ alle Kommunikationskanäle und sammelt die wichtigsten Informationen von den infizierten Maschinen. Die Entdeckung der Malware ist aufgrund versteckter Rootkit-Möglichkeiten, integrierter Funktionalitäten und zusätzlicher Cyberspionage-Module extrem schwierig.

Die Haupterkenntnisse der „The Mask/Careto“-Kampagne:

  • Die Malware-Autoren scheinen Spanisch als Muttersprache zu sprechen – was bei APT-Attacken recht ungewöhnlich ist.
  • Die Kampagne war seit mindestens fünf Jahren bis zum Januar 2014 aktiv. Erste Careto-Samples tauchten 2007 auf. Während der Kaspersky-Untersuchungen wurden die Command-and-Control (C&C)-Server abgeschaltet.
  • Kaspersky Lab hat 380 Opfer identifiziert. Infektionen gab es neben Deutschland und der Schweiz auch in Algerien, Argentinien, Ägypten, Belgien, Bolivien, Brasilien, China, Costa Rica, Frankreich, Gibraltar, Großbritannien, Guatemala, Irak, Iran, Kolumbien, Kuba, Libyen, Malaysia, Mexiko, Marokko, Norwegen, Pakistan, Polen, Spanien, Südafrika, Tunesien, Türkei, USA und Venezuela.
  • Die Komplexität und die Universalität der genutzten Werkzeuge macht diese Cyberspionage-Operation sehr speziell – dazu zählen der wirksame Einsatz von High-end-Exploits, äußerst hochentwickelte Malware mit Rootkit, Bootkit, Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS (iPhone/iPad). „The Mask“ hat zudem eine auf Kaspersky-Unternehmenslösungen angepasste Attacke durchgeführt.
  • Als Angriffsvektoren dienten mindestens ein Exploit für Adobe Flash Player (CVE-2012-0773). Dabei handelte es sich um Flash-Player-Versionen, die älter als Version 10.3 und 11.2 waren. Das Exploit wurde erstmals von der Firma VUPEN entdeckt und im Jahr 2012 für einen Wettbewerb namens „CanSecWest Pwn2Own“ zum Durchbrechen der Google-Chrome-Sandbox verwendet.

Infizierungsmethoden und Funktionalität

Bei der „The Mask“-Kampagne wurden Spear-Pishing-E-Mails mit Links auf eine infizierte Webseite eingesetzt. Die gefährliche Webseite beinhaltet zahlreiche Exploits, mit denen die Besucher abhängig von der Systemkonfiguration infiziert werden. Nach einer erfolgreichen Infizierung leitet die gefährliche Webseite den Nutzer auf eine gutartige Seite, die in der Spear-Pishing-E-Mail erwähnt wurde – beispielsweise YouTube oder Nachrichtenportale.

Wichtig dabei ist: Die Exploit-Webseiten infizieren den Besucher nicht automatisch. Die Angreifer hosten die Exploits in bestimmten Ordnern auf der Webseite, die außer in den Spear-Pishing-E-Mails nicht erwähnt werden. Manchmal nutzen die Angreifer Sub-Domains auf Exploit-Webseiten, damit diese realistischer wirken. Diese Sub-Domains simulieren Unterkategorien von wichtigen spanischen und internationalen Zeitungen wie „The Guardian“ oder die „Washington Post“.

Die Lösungen von Kaspersky Lab erkennen und entfernen alle Versionen der „The Mask/Careto”-Malware.

Anbieter zum Thema

Zyxel Networks A/S
HP Deutschland GmbH
d.velop AG
WatchGuard Technologies
Matchmaker+
zu Matchmaker+
  1. Cyberspionage-Kampagne "The Mask" enthüllt
  2. Erkenntnisse der Malware-Kampagne

Lesen Sie mehr zum Thema

Kaspersky Lab GmbH Viren-/Malware-Schutz Mobile Security
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Kaspersky Lab GmbH

Kaspersky warnt Unternehmen und Nutzer

Banking-Malware: 3,6-mal mehr Angriffe auf mobile Anwender

Kaspersky: APTs finden viele Opfer

Besorgniserregender Trend bei zielgerichteten Angriffen

Kaspersky warnt vor SideWinder

APT-Gruppe zielt nun auf Atomkraftwerke

Über 2 Millionen Bankkarten im Darknet

Kaspersky: 26 Millionen Windows-Geräte mit Infostealern infiziert

Kaspersky beklagt unzureichenden Schutz

Viele Unternehmen nutzen Sicherheitslösungen für Privatanwender

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus

Matchmaker+
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
Redgate Software

Redgate Software
HP Deutschland GmbH

HP Deutschland GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
Vertiv GmbH

Vertiv GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)