Seit etwa sieben Jahren ist eine unbekannte Organisation aktiv, die Regierungseinrichtungen, Energieversorger und Forschungsinstitute ausspioniert. Wie das Sicherheitsunternehmen Kaspersky Lab in einer kürzlich veröffentlichten Analyse darlegt, haben die Online-Spione eine komplexe Sammlung digitaler Spionagewerkzeuge entwickelt, die nicht nur 32- und 64-Bit-Fassungen von Windows, sondern auch Mac OS X und Linux angreifen kann. Tools für Android und iOS sind möglicherweise ebenfalls im Werkzeugkasten.
Die Entwickler der Spionage-Tools sprechen vermutlich spanisch, worauf auch der Name “Careto” (die Maske) hindeutet. Nach Einschätzung der Kaspersky-Experten handelt es sich um eine staatliche Spionageorganisation – für gewöhnliche Online-Kriminelle ist die ganze Operation zu komplex und zu umfassend. Aufmerksam wurde Kaspersky Lab durch Angriffe auf alte Versionen der Kaspersky-Virenscanner, mit denen sich die Spionage-Software vor der Entdeckung schützen wollte.
Potenzielle Opfer werden mit speziell auf sie abgestimmten Mails (“Spear Phishing”) auf eigens dafür vorbereitete Web-Seiten gelockt. Diese sind mit Exploit-Code für allerlei Sicherheitslücken gespickt. Zum Eindringen in Zielsysteme haben die Täter etwa bekannte Sicherheitslücken im Flash Player genutzt. Einer dieser Exploits ist dadurch bekannt geworden, dass die französische Sicherheitsfirma VUPEN damit beim Hacker-Wettstreit Pwn2own 2012 angetreten ist, um Chrome zu knacken.
Die Komplexität der als APT (Advanced Persistent Threat) eingestuften Spionage-Tools stellt laut Kaspersky Lab alles in den Schatten, was auf diesem Gebiet bis dahin bekannt war – selbst Duqu . Kaspersky Lab hat 380 Opfer in 31 Ländern weltweit ausgemacht, etwa in Südamerika und Asien, aber auch in Deutschland und in der Schweiz.
Die Spionage-Kampagne zielte auf sensible Daten wie Arbeitsdokumente, Verschlüsselungs-Codes, VPN-Konfigurationen, SSH-Schlüssel und RDP-Dateien (Remote Desktop Protocol). Dabei versteckt sich Careto mit Hilfe von Rootkits und Bootkits, löscht alle Spuren wie Log-Dateien mittels Wiping (Überschreiben) sowie durch Setzen von Zugriffsregeln. Die ganze Operation ist hoch professionell organisiert – bis zum Shutdown der Infrastruktur (Kommando-Server) nach der Entdeckung. Wer tatsächlich hinter der “Maske” steckt, bleibt jedoch wie so oft im Ungewissen.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.