{"id":2402,"date":"2014-02-11T16:00:44","date_gmt":"2014-02-11T16:00:44","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=2402"},"modified":"2020-02-26T18:31:42","modified_gmt":"2020-02-26T16:31:42","slug":"the-mask-demaskiert","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/the-mask-demaskiert\/2402\/","title":{"rendered":"The Mask \u2013 demaskiert!"},"content":{"rendered":"<p>Eine Hackergruppe, die wahrscheinlich von einer unbekannten Regierung unterst\u00fctzt wird, hat Regierungseinrichtungen, Botschaften, Diplomatenb\u00fcros und Energiekonzerne seit \u00fcber f\u00fcnf Jahren ausspioniert. Die Kaspersky-Experten bezeichnen sie als die fortschrittlichste <a href=\"https:\/\/www.kaspersky.com\/blog\/all-you-need-to-know-about-apts\/\" target=\"_blank\" rel=\"noopener nofollow\">Advanced-Persistent-Threat<\/a>-Kampagne, die sie jemals gesehen haben.<\/p>\n<p>Die Informationen zu der Kampagne wurden von den Kaspersky-Experten gestern auf dem Security Analyst Summit des Unternehmens vorgestellt, das momentan in der Dominikanischen Republik stattfindet. Die Bedrohung durch die Hackergruppe wird \u201eCareto\u201c genannt \u2013 der spanische Begriff f\u00fcr \u201eh\u00e4ssliches Gesicht\u201c oder \u201eMaske\u201c (englisch: The Mask), wobei auch unter Spanisch-sprechenden Menschen \u00fcber diese \u00dcbersetzungen Uneinigkeit besteht.<\/p>\n<p>Das Besorgniserregende an dieser Kampagne ist, dass sie ganz klar zeigt, dass die hochqualifizierten Angreifer da drau\u00dfen dazulernen, ihre Methoden verbessern und ganz generell bei ihren Infizierungen, der Spionage und dem bestehlen ihrer Opfer besser werden. Und sie ist besorgniserregend, da \u201eThe Mask\u201cbisher unter dem Radar operiert und seit 2007 still und heimlich vertrauliche Daten abgegriffen hat. H\u00e4tten die Angreifer nicht versucht, eine gepatchte Sicherheitsl\u00fccke einer \u00e4lteren Version eines Kaspersky-Produkts auszunutzen, w\u00e4re die Spionagekampagne laut Costin Raiu, Director des Global Research and Analysis Team von Kaspersky Lab,wohl nie entdeckt worden.<\/p>\n<p>\u201eEin Kaspersky-Produkt auszunutzen ist ziemlich unklug,\u201c so Raiu bei seiner Pr\u00e4sentation zu \u201eThe Mask\u201c.<\/p>\n<p>Hochentwickelte APT-Kampagnen wie diese hier werden normalerweise daf\u00fcr entwickelt, Computer einzelner Personen mit Zugang zu besonderen, gefragten Netzwerken zu infizieren, in diesem Fall vor allem die Netzwerke von Regierungseinrichtungen und Energiekonzernen. Mit anderen Worten: Die Angreifer sind an den meisten Computernutzern gar nicht interessiert. Ein weiterer Grund, dass Sie sich kaum Sorgen machen m\u00fcssen, ist, dass die Hinterm\u00e4nner der Kampagne sie nur wenige Stunden nach der Ver\u00f6ffentlichung durch Kaspersky Lab abgeschaltet haben.<\/p>\n<div class=\"pullquote\">Ein Kaspersky-Produkt auszunutzen ist ziemlich unklug<\/div>\n<p>Die Kaspersky-Forscher konnten etwa 90 der von den Angreifern genutzten Command-&amp;-Control-Domains per Sinkholingunter ihre Kontrolle bringen. Zudem berichtete Raiu, dass die Mask-Hinterm\u00e4nner alles innerhalb von vier Stunden nach Ver\u00f6ffentlichung des Forschungsberichts abgeschaltet haben. Das Sinkholing ist ein Prozess, bei dem Forscher die Kontrolle \u00fcber die Kommunikationsstruktur eines Botnetzes oder eines Schadprogramms \u00fcbernehmen, und dadurch Netzwerkverkehr weg von den sch\u00e4dlichen Servern leiten k\u00f6nnen, die den Angriff kontrollieren.<\/p>\n<p>Allerdings merkt Raiu auch an, dass die Angreifer die Operation dennoch ohne gro\u00dfe Umschweife weiterf\u00fchren k\u00f6nnen, wenn sie das m\u00f6chten.<\/p>\n<p>Die Kampagne ist noch aufgrund weiterer Gr\u00fcnde bemerkenswert: Zum einen scheint es keine Verbindung zu China zu geben, wo viele solcher Attacken ihren Ursprung haben sollen. Zum zweiten scheinen die Hinterm\u00e4nner der Kampagne Spanisch zu sprechen, was wirklich etwas Neues ist, wenn auch nicht so \u00fcberraschend, wenn man bedenkt, dass Spanisch die zweith\u00e4ufigste Sprache nach Mandarin ist und von etwa 400 Millionen Menschen gesprochen wird. Zu den Zielen der Mask-Kampagne geh\u00f6ren zudem vor allem Spanisch sprechende, die aber auf \u00fcber 30 L\u00e4nder verteilt sind.<\/p>\n<p>Dar\u00fcber hinaus soll die Hackergruppe in ihrem Arsenal mindestens eine Zero-Day-Attacke und verschiedene Versionen der Mask-Schadsoftware haben, die Computer unter Mac OS X, Linux und vielleicht sogar iOS-und Android-Ger\u00e4ten angreifen k\u00f6nnen. Mindestens ein Opfer in Marokko habe ein Ger\u00e4t, das \u00fcber ein mobiles 3G-Netzwerk mit der C&amp;C-Infrastruktur kommuniziert haben soll, so Raiu weiter.<\/p>\n<p>\u201eDiese Jungs sind besser als die Flame-Gruppe, aufgrund der Art wie sie ihre Infrastruktur verwalten,\u201c so Raiu. \u201eDie Geschwindigkeit und Professionalit\u00e4t stehen \u00fcber denen von Flame oder jeder anderen Kampagne, die wir bisher kennen.\u201c<\/p>\n<p>Flame ist eine APT-Kampagne, die von Kaspersky Lab im Jahr 2012 aufgedeckt wurde. Sie zielte auf L\u00e4nder im Mittleren Osten ab und war bereits recht fortschrittlich aufgebaut, da sie gef\u00e4lschte digitale Zertifikate nutze, die so aussahen, als k\u00e4men sie direkt von Microsoft.<\/p>\n<p>Wie es mittlerweile oft der Fall ist, gingen die Mask-Angreifer auf ihre Opfer mit so genannten Spear-Phishing-Mails los, die auf eine sch\u00e4dliche Webseite f\u00fchrten, auf der Exploits zu finden waren. Diese Seiten waren voll mit Exploits und nur \u00fcber direkte Links erreichbar, die die Angreifer ihren Opfern schickten.<\/p>\n<p>Raiu sagte, dass die Angreifer verschiedene Werkzeuge zur Verf\u00fcgung hatten, inklusive so genannter Implantate, die es ihnen erlaubten, auf den Computern der Opfer zu verharren, die komplette TCP- und UDP-Kommunikation (zwei der Protokolle, die f\u00fcr die Kommunikation und den Datenverkehr im Internet genutzt werden) in Echtzeit abzuh\u00f6ren und auf den infizierten Computern trotzdem unsichtbar zu bleiben. Dabei war die komplette Kommunikation zwischen den Computern der Opfer und den C&amp;C-Servern verschl\u00fcsselt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine Hackergruppe, die wahrscheinlich von einer unbekannten Regierung unterst\u00fctzt wird, hat Regierungseinrichtungen, Botschaften, Diplomatenb\u00fcros und Energiekonzerne seit \u00fcber f\u00fcnf Jahren ausspioniert. Die Kaspersky-Experten bezeichnen sie als die fortschrittlichste Advanced-Persistent-Threat-Kampagne, die sie jemals gesehen haben.<\/p>\n","protected":false},"author":42,"featured_media":2403,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[886,522,885,195,337,884],"class_list":{"0":"post-2402","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-advanced-persistent","9":"tag-apt","10":"tag-cyberspionage","11":"tag-flame","12":"tag-spionage","13":"tag-the-mask"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/the-mask-demaskiert\/2402\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/advanced-persistent\/","name":"Advanced Persistent"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2402","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=2402"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2402\/revisions"}],"predecessor-version":[{"id":22684,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2402\/revisions\/22684"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/2403"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=2402"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=2402"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=2402"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}