The Mask – demaskiert!

Eine Hackergruppe, die wahrscheinlich von einer unbekannten Regierung unterstützt wird, hat Regierungseinrichtungen, Botschaften, Diplomatenbüros und Energiekonzerne seit über fünf Jahren ausspioniert. Die Kaspersky-Experten bezeichnen sie als die fortschrittlichste Advanced-Persistent-Threat-Kampagne, die sie jemals gesehen haben.

mask_apt

Eine Hackergruppe, die wahrscheinlich von einer unbekannten Regierung unterstützt wird, hat Regierungseinrichtungen, Botschaften, Diplomatenbüros und Energiekonzerne seit über fünf Jahren ausspioniert. Die Kaspersky-Experten bezeichnen sie als die fortschrittlichste Advanced-Persistent-Threat-Kampagne, die sie jemals gesehen haben.

Die Informationen zu der Kampagne wurden von den Kaspersky-Experten gestern auf dem Security Analyst Summit des Unternehmens vorgestellt, das momentan in der Dominikanischen Republik stattfindet. Die Bedrohung durch die Hackergruppe wird „Careto“ genannt – der spanische Begriff für „hässliches Gesicht“ oder „Maske“ (englisch: The Mask), wobei auch unter Spanisch-sprechenden Menschen über diese Übersetzungen Uneinigkeit besteht.

Das Besorgniserregende an dieser Kampagne ist, dass sie ganz klar zeigt, dass die hochqualifizierten Angreifer da draußen dazulernen, ihre Methoden verbessern und ganz generell bei ihren Infizierungen, der Spionage und dem bestehlen ihrer Opfer besser werden. Und sie ist besorgniserregend, da „The Mask“bisher unter dem Radar operiert und seit 2007 still und heimlich vertrauliche Daten abgegriffen hat. Hätten die Angreifer nicht versucht, eine gepatchte Sicherheitslücke einer älteren Version eines Kaspersky-Produkts auszunutzen, wäre die Spionagekampagne laut Costin Raiu, Director des Global Research and Analysis Team von Kaspersky Lab,wohl nie entdeckt worden.

„Ein Kaspersky-Produkt auszunutzen ist ziemlich unklug,“ so Raiu bei seiner Präsentation zu „The Mask“.

Hochentwickelte APT-Kampagnen wie diese hier werden normalerweise dafür entwickelt, Computer einzelner Personen mit Zugang zu besonderen, gefragten Netzwerken zu infizieren, in diesem Fall vor allem die Netzwerke von Regierungseinrichtungen und Energiekonzernen. Mit anderen Worten: Die Angreifer sind an den meisten Computernutzern gar nicht interessiert. Ein weiterer Grund, dass Sie sich kaum Sorgen machen müssen, ist, dass die Hintermänner der Kampagne sie nur wenige Stunden nach der Veröffentlichung durch Kaspersky Lab abgeschaltet haben.

Ein Kaspersky-Produkt auszunutzen ist ziemlich unklug

Die Kaspersky-Forscher konnten etwa 90 der von den Angreifern genutzten Command-&-Control-Domains per Sinkholingunter ihre Kontrolle bringen. Zudem berichtete Raiu, dass die Mask-Hintermänner alles innerhalb von vier Stunden nach Veröffentlichung des Forschungsberichts abgeschaltet haben. Das Sinkholing ist ein Prozess, bei dem Forscher die Kontrolle über die Kommunikationsstruktur eines Botnetzes oder eines Schadprogramms übernehmen, und dadurch Netzwerkverkehr weg von den schädlichen Servern leiten können, die den Angriff kontrollieren.

Allerdings merkt Raiu auch an, dass die Angreifer die Operation dennoch ohne große Umschweife weiterführen können, wenn sie das möchten.

Die Kampagne ist noch aufgrund weiterer Gründe bemerkenswert: Zum einen scheint es keine Verbindung zu China zu geben, wo viele solcher Attacken ihren Ursprung haben sollen. Zum zweiten scheinen die Hintermänner der Kampagne Spanisch zu sprechen, was wirklich etwas Neues ist, wenn auch nicht so überraschend, wenn man bedenkt, dass Spanisch die zweithäufigste Sprache nach Mandarin ist und von etwa 400 Millionen Menschen gesprochen wird. Zu den Zielen der Mask-Kampagne gehören zudem vor allem Spanisch sprechende, die aber auf über 30 Länder verteilt sind.

Darüber hinaus soll die Hackergruppe in ihrem Arsenal mindestens eine Zero-Day-Attacke und verschiedene Versionen der Mask-Schadsoftware haben, die Computer unter Mac OS X, Linux und vielleicht sogar iOS-und Android-Geräten angreifen können. Mindestens ein Opfer in Marokko habe ein Gerät, das über ein mobiles 3G-Netzwerk mit der C&C-Infrastruktur kommuniziert haben soll, so Raiu weiter.

„Diese Jungs sind besser als die Flame-Gruppe, aufgrund der Art wie sie ihre Infrastruktur verwalten,“ so Raiu. „Die Geschwindigkeit und Professionalität stehen über denen von Flame oder jeder anderen Kampagne, die wir bisher kennen.“

Flame ist eine APT-Kampagne, die von Kaspersky Lab im Jahr 2012 aufgedeckt wurde. Sie zielte auf Länder im Mittleren Osten ab und war bereits recht fortschrittlich aufgebaut, da sie gefälschte digitale Zertifikate nutze, die so aussahen, als kämen sie direkt von Microsoft.

Wie es mittlerweile oft der Fall ist, gingen die Mask-Angreifer auf ihre Opfer mit so genannten Spear-Phishing-Mails los, die auf eine schädliche Webseite führten, auf der Exploits zu finden waren. Diese Seiten waren voll mit Exploits und nur über direkte Links erreichbar, die die Angreifer ihren Opfern schickten.

Raiu sagte, dass die Angreifer verschiedene Werkzeuge zur Verfügung hatten, inklusive so genannter Implantate, die es ihnen erlaubten, auf den Computern der Opfer zu verharren, die komplette TCP- und UDP-Kommunikation (zwei der Protokolle, die für die Kommunikation und den Datenverkehr im Internet genutzt werden) in Echtzeit abzuhören und auf den infizierten Computern trotzdem unsichtbar zu bleiben. Dabei war die komplette Kommunikation zwischen den Computern der Opfer und den C&C-Servern verschlüsselt.

Tipps