aufgrund ihrer Komplexität und der verwendeten Werkzeuge als eine der derzeit fortschrittlichsten Cyberspionagekampagnen gilt. Bei „The Mask“ kommt eine äußerst ausgeklügelte Malware mit Rootkit, Bootkit, Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS (iPhone und iPad) zum Einsatz. Die Angreifer haben es auf sensible Daten der infizierten Systeme abgesehen, wie beispielsweise Arbeitsdokumente, Verschlüsselungscodes, VPN-Konfigurationen (Virtual Private Network) für sichere Verbindungen, SSH-Schlüssel (Secure Shell) zur Kommunikation mit einem SSH-Verschlüsselungsserver und RDP-Dateien (Remote Desktop Protocol), die zum Aufbau von Terminal-Verbindungen dienen. Wegen der ausgesprochenen perfekten und professionellen Durchführung der Kampagne vermuten die Kaspersky Experten, dass diese nationalstaatlich unterstützt wurde. Im Rahmen ihrer Untersuchungen haben die Sicherheitsfachleute festgestellt, dass die Entdeckung der Malware aufgrund versteckter Rootkit-Möglichkeiten, integrierter Funktionalitäten und zusätzlicher Cyberspionage-Module extrem schwierig ist. Sie erarbeiteten folgende Haupterkenntnisse aus „The Mask/Careto – Kampagne“
Die Malware-Autoren scheinen Spanisch als Muttersprache zu sprechen – was bei APT-Attacken recht ungewöhnlich ist.
Die Kampagne war seit mindestens fünf Jahren bis zum Januar 2014 aktiv. Erste Careto-Samples tauchten 2007 auf. Während der Kaspersky-Untersuchungen wurden die Command-and-Control (C&C)-Server abgeschaltet.
Kaspersky Lab hat 380 Opfer identifiziert. Infektionen gab es neben Deutschland und der Schweiz auch in Algerien, Argentinien, Ägypten, Belgien, Bolivien, Brasilien, China, Costa Rica, Frankreich, Gibraltar, Großbritannien, Guatemala, Irak, Iran, Kolumbien, Kuba, Libyen, Malaysia, Mexiko, Marokko, Norwegen, Pakistan, Polen, Spanien, Südafrika, Tunesien, Türkei, USA und Venezuela.
Die Komplexität und die Universalität der genutzten Werkzeuge macht diese Cyberspionage-Operation sehr speziell – dazu zählen der wirksame Einsatz von High-end-Exploits, äußerst hochentwickelte Malware mit Rootkit, Bootkit, Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS (iPhone/iPad). „The Mask“ hat zudem eine auf Kaspersky-Unternehmenslösungen angepasste Attacke durchgeführt.
Als Angriffsvektoren dienten mindestens ein Exploit für Adobe Flash Player (CVE-2012-0773). Dabei handelte es sich um Flash-Player-Versionen, die älter als Version 10.3 und 11.2 waren. Das Exploit wurde erstmals von der Firma VUPEN entdeckt und im Jahr 2012 für einen Wettbewerb namens „CanSecWest Pwn2Own“ zum Durchbrechen der Google-Chrome-Sandbox verwendet.
Die Malware-Autoren scheinen Spanisch als Muttersprache zu sprechen – was bei APT-Attacken recht ungewöhnlich ist.
Die Kampagne war seit mindestens fünf Jahren bis zum Januar 2014 aktiv. Erste Careto-Samples tauchten 2007 auf. Während der Kaspersky-Untersuchungen wurden die Command-and-Control (C&C)-Server abgeschaltet.
Kaspersky Lab hat 380 Opfer identifiziert. Infektionen gab es neben Deutschland und der Schweiz auch in Algerien, Argentinien, Ägypten, Belgien, Bolivien, Brasilien, China, Costa Rica, Frankreich, Gibraltar, Großbritannien, Guatemala, Irak, Iran, Kolumbien, Kuba, Libyen, Malaysia, Mexiko, Marokko, Norwegen, Pakistan, Polen, Spanien, Südafrika, Tunesien, Türkei, USA und Venezuela.
Die Komplexität und die Universalität der genutzten Werkzeuge macht diese Cyberspionage-Operation sehr speziell – dazu zählen der wirksame Einsatz von High-end-Exploits, äußerst hochentwickelte Malware mit Rootkit, Bootkit, Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS (iPhone/iPad). „The Mask“ hat zudem eine auf Kaspersky-Unternehmenslösungen angepasste Attacke durchgeführt.
Als Angriffsvektoren dienten mindestens ein Exploit für Adobe Flash Player (CVE-2012-0773). Dabei handelte es sich um Flash-Player-Versionen, die älter als Version 10.3 und 11.2 waren. Das Exploit wurde erstmals von der Firma VUPEN entdeckt und im Jahr 2012 für einen Wettbewerb namens „CanSecWest Pwn2Own“ zum Durchbrechen der Google-Chrome-Sandbox verwendet.
