The Mask/Careto: Hochentwickelter Cyberangriff auf Energieunternehmen

Bis Januar 2014 war die Cyberwaffe The Mask aktiv, die Sicherheitslücken in Kaspersky-Software und im Adobe Flash Player ausnutzte. Die Malware arbeitet mit Rootkit, Bootkit und Versionen für Mac OS X, Linux, Android und iOS und löscht ihre Logdateien durch Überschreiben.

Artikel veröffentlicht am ,
The Mask/Careto: Hochentwickelter Cyberangriff auf Energieunternehmen
(Bild: Kaspersky Lab)

Die über Jahre genutzte Cyberwaffe The Mask oder Careto ist eine der gefährlichsten und am höchsten entwickelten Malware-Attacken. Das berichtet das russische IT-Sicherheitsunternehmen Kaspersky Lab, das den Angriff analysiert hat. The Mask war danach seit mindestens fünf Jahren, bis zum Januar 2014, aktiv.

Stellenmarkt
  1. IT Manager (m/w/d)
    softgarden e-recruiting gmbh, Berlin
  2. IT Customer Support / Help-Desk Agent (m/w/d) im Frontline-Support
    Compusoft Deutschland AG, Dresden, Schmallenberg
Detailsuche

Bei der APT-Attacke (Advanced Persistent Threat) kommen eine hochentwickelte Malware mit Rootkit, Bootkit, Versionen für Mac OS X, Linux und Varianten für Android und iOS zum Einsatz. Angriffsziele sind Energie-, Öl- und Gasunternehmen, Regierungsorganisationen, diplomatische Einrichtungen und Botschaften, Forschungseinrichtungen und Aktivisten. The-Mask-Opfer kommen aus 31 Staaten, darunter auch aus Deutschland und der Schweiz.

Die Angreifer wollten von den infizierten Systemen Arbeitsdokumente, Verschlüsselungscodes, VPN-Konfigurationen, SSL-Schlüssel und RDP-Dateien (Remote Desktop Protocol) kopieren, so die Sicherheitsexperten.

Offenbar sind Geheimdienste die Täter. "Es gibt zahlreiche Anzeichen dafür, dass hinter 'The Mask' eine nationalstaatlich unterstützte Kampagne steht", sagte Costin Raiu, Director Global Research and Analysis Team bei Kaspersky Lab. Auch dass Logdateien durch Überschreiben gelöscht wurden, lasse diese APT-Attacke noch als fortschrittlicher als die Cyberwaffe Duqu erscheinen. Raiu: "Das operative Sicherheitsniveau ist für konventionelle Cyberkriminelle ungewöhnlich."

Golem Karrierewelt
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
  2. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    22.-24.08.2022, Virtuell
Weitere IT-Trainings

Kaspersky wurde im vergangenen Jahr auf The Mask/Careto aufmerksam, als es Exploit-Versuche auf eine Schwachstelle in Unternehmenssoftware von Kaspersky Lab feststellte, die seit fünf Jahren behoben war. Das Exploit bot der Malware die Möglichkeit, sich vor Entdeckung zu schützen.

Für den Angriff diente auch ein Exploit für Adobe Flash Player (CVE-2012-0773) für Versionen, die älter als Version 10.3 und 11.2 waren.

Bei The Mask wurden Spear-Phishing-E-Mails mit Links auf eine mit zahlreichen Exploits infizierte Webseite eingesetzt, die Besucher abhängig von der Systemkonfiguration angreifen konnten. Die Exploit-Webseiten infizieren den Besucher nicht automatisch und die Angreifer hosten die Exploits in bestimmten Ordnern auf der Webseite. Nach einer Infizierung leitet die Webseite den Nutzer auf Youtube oder Nachrichtenportale weiter.

Während der Kaspersky-Untersuchungen wurden die Command-and-Control (C&C-)Server abgeschaltet. Kaspersky Lab hat 380 Opfer identifiziert. Infektionen gab es neben Deutschland und der Schweiz auch in Algerien, Argentinien, Ägypten, Belgien, Bolivien, Brasilien, China, Costa Rica, Frankreich, Gibraltar, Großbritannien, Guatemala, Irak, Iran, Kolumbien, Kuba, Libyen, Malaysia, Mexiko, Marokko, Norwegen, Pakistan, Polen, Spanien, Südafrika, Tunesien, Türkei, USA und Venezuela. Die Malware-Autoren scheinen Spanisch als Muttersprache zu sprechen, ergab die Analyse.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Star Wars: Cal Kestis kämpft in Jedi Survivor weiter
    Star Wars
    Cal Kestis kämpft in Jedi Survivor weiter

    EA hat offiziell den Nachfolger zu Star Wars Jedi Fallen Order angekündigt. Hauptfigur ist erneut Cal Kestis mit seinem Roboterkumpel BD-1.

  2. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  3. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /