Kaspersky findet Spionagesoftware – vermutlich aus einem spanischsprachigen Land

CC-BY-NC-SA 2.0 via Flickr/m104

Die russische Sicherheitssoftware-Firma Kaspersky Lab hat gestern bekanntgegeben, Schadprogramme gefunden zu haben, die seit 2007 Cyberspionage-Aktivitäten durchführen. In der Zusammenfassung von Kaspersky ist von mehr als 380 Betroffenen in 31 Ländern die Rede. Zu den Zielen gehörten gleichermaßen Regierungsinstitutionen, diplomatische Einrichtungen, Industriekonzerne, Privat- und Forschungsunternehmen sowie Aktivisten.

Hat die Software ein System über eine Phishing-Webseite wie Kopien von The Guardian oder El País befallen, kann sie den W-Lan-Verkehr und Skype-Gespräche abhören, Tastatureingaben erkennen, Screenshots machen und sämtliche Dateioperationen überwachen. Darüberhinaus wird eine große Anzahl Dateien von den betroffenen Systemen gesammelt, wie PGP-Schlüssel und VPN-Konfigurationen.

Kaspersky hat das Malware-Toolkit „The Mask“ getauft. Das geschah in Anlehnung an die Bezeichnung des Haupt-Backdoor-Programmteils, der intern als „Careto“ referenziert wird, was im Spanischen „Maske“ bedeutet. Aufgrund dessen, weiterer Codefragmente und der Tatsache, dass die Phishing-Seiten spanischsprachige Inhalte enthielten, geht Kaspersky davon aus, dass die Software von spanischsprachigen Entwicklern stammt. Auch der in den Konfigurationsdateien gespeicherte RC4-Schlüssel „Caguen1aMar“ entspricht der spanischen Version des Fluchs „Scheiße!“

Darüberhinaus ist das Funktionsprinzip sehr fortgeschritten, was erklärt, warum die Angriffe über einen so langen Zeitraum verborgen blieben. Die Kombination aus Root- und Boot-Kit wurde für verschiedene Systeme angepasst und Zugriffsregeln so gesetzt, dass ein Blick auf das Programm verwehrt blieb. Ebenso wurden Logdateien, die Spuren seiner Existenz verraten könnten, automatisch gelöscht. Ganz fehlerfrei wurde aber auch hier nicht vorgegangen, denn es wurden noch hardgecodete Debug-Infos gefunden, wie dieser absolute Pfad auf dem Entwickler-Computer:

c:DevCaretoPruebas3.0release32CDllUninstall32.pdb

Aufgrund der ungewöhnlichen Professionalität und der Sprachindizien geht Kaspersky davon aus, dass die Angriffe von einem spanischsprachigen Nationalstaat ausgehen. Soetwas ist bisher noch nie vorgekommen beziehungsweise wurde noch nie entdeckt. Vorerst ist das aber nur eine Vermutung und bedarf weiterer faktischer Untermauerung. In einem Bericht heißt es, dass eine absichtliche Täuschung nicht ausgeschlossen werden könne und davon abgesehen Spanisch in 21 Ländern der Welt gesprochen werde, der Kreis der möglichen Verdächtigen demnach groß sei.

1 Ergänzungen

  1. der bericht mag recht lang sein. ich möchte aber jedem empfehlen, ihn zu lesen. er ist ein bestürzendes zeugnis (offensichtlich) staatlichen handelns, das unbedingt transparent rechtlich begrenzt werden muss.

    franz kafka ist dagegen dampfmaschinenprosa. und spannender als viele krimis ist es auch. leseempfehlung!

    .~.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.