Careto visualisiert von seinen Entdeckern

© Kaspersky

Schädling
02/11/2014

Profi-Malware "The Mask" blieb fünf Jahre lang unentdeckt

Hunderte Systeme weltweit sind von dem Schadprogramm "Careto" (Die Maske) befallen. Die Malware treibt ihr Unwesen schon seit fünf Jahren, blieb bislang aber unentdeckt.

"The Mask" wurde jetzt vom Antivirensoftwarte-Hersteller Kaspersky entdeckt, schreibt Heise. Der Schädling besteht angeblich aus drei Teilen, einem Rootkit, einem Bootkit und einem ausgeklügelten Schad-Programm. Die Software ist laut Kaspersky technisch auf höchstem Niveau und mindestens seit 2007 aktiv, es ist aber nicht auszuschließen, dass Careto schon wesentlich länger in Umlauf ist. Von der Malware existieren verschiedene Versionen, wie die Entdecker schreiben, auch für Linux und Mac OS X sowie mutmaßlich für Android und iOS.

Die Maske stiehlt verschiedenste Dateitypen von infizierten Systemen, darunter PDFs, Konfigurationsdateien und Schlüssel. Auch Tastatureingaben und Videochats werden von dem Schädling mitgeschnitten. Die Daten werden allesamt auf einen Server kopiert. Seit Bekanntwerden der Entdeckung von The Mask sind alle Server des Schadnetzwerks aus dem Netz verschwunden. Die Hauptziele von Careto sollen vor allem Regierungen, Botschaften und Unternehmen aus der Energiebranche gewesen sein.

Sehr ausgefeilt

Rund 400 Computer in 31 Ländern sind laut Kaspersky mit Careto infiziert, mehr als 1.000 IP-Adressen sollen betroffen sein. Die Urheber von "The Mask" sollen spanischsprechend sein, was eheer ungewöhnlich ist. Drei infizierte Systeme wurden in Deutschland gefunden, Österreich scheint nicht auf der Liste der betroffenen Staaten auf, die Schweiz schon.

Die Sicherheitsforscher bei Kaspersky waren von der Komplexität der Software überrascht, die teilweise sehr anspruchsvolle Sicherheitslücken ausnutzt. Etwas vergleichbares habe es so noch nicht gegeben, schreiben die Experten. Deshalb wird vermutet, dass The Mask staatlich finanziert wurde. Careto nutzt beispielsweise eine auf Kaspersky-Produkte abgestimmte Schwachstelle. Auch der Flash-Player dient der Maske als Einfallstor.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.

Um diesen Artikel lesen zu können, würden wir Ihnen gerne die Anmeldung für unser Plus Abo zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diese anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.