The Mask: Hochprofessionelle Malware-Kampagne fünf Jahre lang unentdeckt

Die "The Mask" getaufte Malware-Kampagne lief seit mindestens 2007. Wahrscheinlich staatlich finanziert, infizierten Profis gut 1000 Systeme weltweit. Pikant: Eine der missbrauchten Schwachstellen wurde vom französischen Unternehmen Vupen entdeckt.

In Pocket speichern vorlesen Druckansicht 176 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Uli Ries

The Mask – eigentlich ein treffender Name für eine Malware-Kampagne, die lange unentdeckt blieb. Das Besondere der von Kaspersky-Forschern entdeckten und analysierten Kampagne, die mindestens seit 2007 gelaufen sein soll, ist der Mix aus einem hochmodernen Stück Malware, einem Rootkit, einem Bootkit und Versionen der Attacke für Mac OS X und Linux. Eventuell wurden auch Android- und iOS-Geräte ins Visier genommen, harte Beweise hierfür liegen derzeit aber nicht vor. Laut Kaspersky wurden über 400 Maschinen in 31 Staaten infiziert, darunter drei in Deutschland.

Übersicht über die von The Mask betroffenen Länder

(Bild: Kaspersky Lab)

Ziel der Attacken waren vor allem Regierungsbehörden, Büros von Diplomaten und Botschaften, Energie-, Öl- und Gasunternehmen, Forschungseinrichtungen und Aktivisten. Die Schadsoftware saugte alle möglichen Dateien von den infizierten Rechnern ab, darunter Office-Dokumente, Private Keys zum Signieren von PDFs, VPN-Konfigurationsdateien, PGP-Keys, SSH-Schlüssel oder Dateien zur Konfiguration von RDP (Remote Desktop Client). Auch Skype-Telefonate und Tastatureingaben seien mitgeschnitten und bombensicher verschlüsselt auf dem Command & Control-Server abgelegt worden.

Auf Nachfrage sagte Costin Raiu, Leiter von Kasperskys Global Research and Analysis Team (GReAT), dass ihm noch nie eine ausgefeiltere Malware-Kampagne untergekommen sei. Selbst Flame rangiere hinter The Mask. Teile der Schadsoftware und ihrer Verbreitungswege seien immer noch nicht zu erklären, weil die Macher so professionell vorgingen. So verschickten sie beispielsweise personalisierte Phishing-E-Mails an ihre Opfer. Die darin verwendete URL wurde pro Ziel neu erstellt und sofort nach der Infektion wieder gelöscht. Nach Aufruf der URL scannte der verseuchte Webserver den Rechner des Opfers und schleuste die Malware über den jeweils passenden Exploit ein. Laut Symantec, das ebenfalls eine Analyse von The Mask veröffentlichte, wurden auch verseuchte E-Mail-Anhänge zur Infektion verwendet.

Kaspersky konnte für kurze Zeit einen der zur Infektion verwendeten Server untersuchen und entdeckte darauf unter anderem Exploits für Lücken in Java (CVE-2011-3544) und Adobe Flash 10.3. Die verwendete, erst Ende 2012 behobene Flash-Schwachstelle (CVE-2012-0773) ist pikant: Sie wurde erstmals öffentlich von den französischen Bugjägern Vupen Anfang 2012 im Rahmen des Wettbewerbs Pwn2Own 2012 verwendet und dürfte der erste erfolgreiche Ausbruch aus der Sandbox von Google Chrome gewesen sein. Vupen verriet seinerzeit anschließend keine Details und verzichtete öffentlichkeitswirksam auf das Preisgeld. Lieber wollte man die Schwachstelle seinen zahlenden Kunden anbieten. Laut Costin Raiu bestätigte Adobe, dass die von The Mask missbrauchte Schwachstelle mit der von Vupen entdeckten identisch ist. Ob die Macher von The Mask die Lücke selbst entdeckten oder zum Kundenkreis von Vupen gehören, bleibt unklar. Chaouki Bekrar, Geschäftsführer von Vupen, reagierte nicht auf eine Nachfrage von heise Security.

Mac-Nutzer sollten laut Raiu durch bösartige Firefox-Plugins infiziert werden, die sich als Videoplayer tarnten. Man habe zwar entsprechende Plugins auf dem Exploit-Server entdeckt, sagte Raiu. In diesen fand sich zum Zeitpunkt der Untersuchung aber kein Schadcode. Inzwischen ist von der professionellen Operation im Netz keine Spur mehr: Vier Stunden nachdem Kaspersky vergangene Woche per Blogbeitrag eine Aufsehen erregende Analyse ankündigte, waren sämtliche zu The Mask gehörenden Server aus dem Netz verschwunden. Laut Raiu dauerte dies im Fall von Flame immerhin zwei Tage. Dies sei ein weiterer Beleg für die Professionalität der Macher von The Mask.

Weitere Details der im Rahmen des Kaspersky Security Analyst Summit präsentierten Malware finden sich in einem ausführlichen PDF. (fab)