Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 11 2014

Kaspersky findet Spionagesoftware – vermutlich aus einem spanischsprachigen Land

Die russische Sicherheitssoftware-Firma Kaspersky Lab hat gestern bekanntgegeben, Schadprogramme gefunden zu haben, die seit 2007 Cyberspionage-Aktivitäten durchführen. In der Zusammenfassung von Kaspersky ist von mehr als 380 Betroffenen in 31 Ländern die Rede. Zu den Zielen gehörten gleichermaßen Regierungsinstitutionen, diplomatische Einrichtungen, Industriekonzerne, Privat- und Forschungsunternehmen sowie Aktivisten.

Hat die Software ein System über eine Phishing-Webseite wie Kopien von The Guardian oder El País befallen, kann sie den W-Lan-Verkehr und Skype-Gespräche abhören, Tastatureingaben erkennen, Screenshots machen und sämtliche Dateioperationen überwachen. Darüberhinaus wird eine große Anzahl Dateien von den betroffenen Systemen gesammelt, wie PGP-Schlüssel und VPN-Konfigurationen.

Kaspersky hat das Malware-Toolkit “The Mask” getauft. Das geschah in Anlehnung an die Bezeichnung des Haupt-Backdoor-Programmteils, der intern als “Careto” referenziert wird, was im Spanischen “Maske” bedeutet. Aufgrund dessen, weiterer Codefragmente und der Tatsache, dass die Phishing-Seiten spanischsprachige Inhalte enthielten, geht Kaspersky davon aus, dass die Software von spanischsprachigen Entwicklern stammt. Auch der in den Konfigurationsdateien gespeicherte RC4-Schlüssel “Caguen1aMar” entspricht der spanischen Version des Fluchs “Scheiße!”

Darüberhinaus ist das Funktionsprinzip sehr fortgeschritten, was erklärt, warum die Angriffe über einen so langen Zeitraum verborgen blieben. Die Kombination aus Root- und Boot-Kit wurde für verschiedene Systeme angepasst und Zugriffsregeln so gesetzt, dass ein Blick auf das Programm verwehrt blieb. Ebenso wurden Logdateien, die Spuren seiner Existenz verraten könnten, automatisch gelöscht. Ganz fehlerfrei wurde aber auch hier nicht vorgegangen, denn es wurden noch hardgecodete Debug-Infos gefunden, wie dieser absolute Pfad auf dem Entwickler-Computer:

c:\Dev\CaretoPruebas3.0\release32\CDllUninstall32.pdb

Aufgrund der ungewöhnlichen Professionalität und der Sprachindizien geht Kaspersky davon aus, dass die Angriffe von einem spanischsprachigen Nationalstaat ausgehen. Soetwas ist bisher noch nie vorgekommen beziehungsweise wurde noch nie entdeckt. Vorerst ist das aber nur eine Vermutung und bedarf weiterer faktischer Untermauerung. In einem Bericht heißt es, dass eine absichtliche Täuschung nicht ausgeschlossen werden könne und davon abgesehen Spanisch in 21 Ländern der Welt gesprochen werde, der Kreis der möglichen Verdächtigen demnach groß sei.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Don't be the product, buy the product!

Schweinderl