Ihre Tarnung ist exzellent. Jahrelang wüten Angreifer auf Rechnern von Regierungsstellen, Energie- und Ölfirmen, Finanzinvestoren und Aktivisten. Die Cyber-Spione entwenden dabei höchst sensible Dateien. Indizien sprechen für eine staatlich organisierte Operation.

"Es gibt zahlreiche Anzeichen dafür, dass hinter 'The Mask' eine nationalstaatlich unterstützte Kampagne steht", heißt es bei dem IT-Sicherheitsdienstleister Kaspersky Lab. "Die Maske" nennen die Spezialisten die Cyber-Operation, weil sie exzellent getarnt durchgeführt wurde. Mit einer Kombination von Werkzeugen verschafften sich die Angreifer demnach auf Rechnern Zugang zu höchst sensiblen Informationen. Die Schadsoftware soll seit 2007 unentdeckt im Einsatz gewesen sein.

Die Drahtzieher hatten es Kaspersky zufolge auf Regierungsstellen, diplomatische Vertretungen, Energie-, Öl- und Gasunternehmen, wissenschaftliche Einrichtungen, Finanzinvestoren und Aktivisten in mindestens 31 Ländern weltweit abgesehen. Betroffen sind vor allem Marokko, Brasilien, Großbritannien, Spanien, Frankreich und die Schweiz. Aber auch aus den Vereinigten Staaten und Deutschland sind dem Unternehmen Fälle bekannt. Neben Malware für Windows und Mac OS X vermuten die IT-Spezialisten auch Versionen für iPads, iPhones und Android-Smartphones.

"Desaströse" Auswirkungen

Ist ein Rechner infiziert, seien die Folgen "desaströs", heißt es bei Kaspersky. Die Schadsoftware fange sämtliche Kommunikation ab und sammle wichtige Informationen. Zusätzlich zu diesen Grundfunktionen können die Angreifer jederzeit weitere Module installieren, um weitere Aktionen durchzuführen. Die Infektion findet über Phishing-E-Mails statt, die auf eine schädliche Website verlinken, die als populäres Angebot getarnt ist. Als Beispiele nennt Kasperspy das Videoportal Youtube, mehrere Web-Angebote spanischer Zeitungen, den britischen "Guardian" und die "Washington Post".

Da der IT-Dienstleister jedoch nur einen Teil der Command-and-Control-Server und von dort angegriffene IP-Adressen entdecken konnte, ist das tatsächliche Ausmaß von "The Mask" unbekannt.

Indizien für Herkunft

Entwendet wurden Arbeitsdokumente, Verschlüsselungscodes, Konfigurationen von technischer Infrastruktur wie Virtual Private Networks und RDP-Dateien, um Terminal-Verbindungen zu Desktop-Computern aufbauen zu können. Mit solchen erbeuteten Dateien könnten die Angreifer noch viel weitreichenderen Zugriff erhalten, etwa auf komplette Firmennetzwerke und ihre verschlüsselte Kommunikation.

"Das operative Sicherheitsniveau ist für konventionelle Cyberkriminelle ungewöhnlich", sagt einer der IT-Experten, der an der Aufdeckung des Spionagenetzes beteiligt war. Sein Team vermutet spanischsprachige Täter hinter den Cyber-Angriffen. Inzwischen seien alle Command-and-Control-Server offline - zumindest diejenigen, die Kaspersky entdeckt hatte.