Abseits der wenig abreißenden medialen Bearbeitung der Enthüllungen Eward Snowdens sind in den vergangenen Wochen einige wichtige Meldungen nahezu untergegangen. Zum einen wurde durch das IT-Sicherheits-Unternehmen Kaspersky ein umfassender Bericht über eine bereits seit 2007 Jahren aktive Malware-Operation veröffentlicht. Bei der als “The mask” oder “Careto” bezeichneten Kampagne wurden per Spear Phising hunderte Rechner von Regierungsbehörden, Diplomaten, Energieunternehmen sowie Forschungseinrichtungen in 31 Ländern befallen und nach interessanten Office-Dokumente, Kryptographie-Schlüssel zum Signieren von PDFs oder für SSH-Verbindungen sowie Konfigurationsdateien für den Fernzugriff auf andere Rechner ausspioniert. Die Rechner wurden dabei gezielt über eigens dafür eingerichtete Webseite infiziert die an das Betriebssystem des Zielrechners und deren typische Verwundbarkeiten zugeschnitten waren und darauf spezialisierten Infektions-Code einsetzen konnten. Laut Kaspersky steht Careto dabei auf einer Stufe mit Flame, einem Bericht der Washington Post zufolge [LINK] immerhin eine Gemeinschaftsentwicklung Israels und der USA.
„What makes ‚The Mask‘ special is the complexity of the toolset used by the attackers,“ the Kaspersky analysis stated. „This includes an extremely sophisticated malware, a rootkit, a bootkit, 32- and 64-bit Windows versions, Mac OS X and Linux versions, and possibly versions of Android and iPad/iPhone (Apple iOS).“ (Q: wired.com)
Aus Sicht der zunehmenden Militarisierung des Cyberspace ist das interessanteste Detail des Berichts die Spekulation über die vermutliche Herkunft von “The mask”. Einige Indizien im Quellcode sowie hinsichtlich der verwendeten Entwicklungsumgebung deuten auf Spanisch-sprechende Urheber bin. Auch der namensgebende Begriff “Careto” findet sich im Code und bezeichnet auf Spanisch ein Fratze oder eine hässliche Maske. Auch wenn international mehr als 20 Länder Spanisch als offizielle Sprache verwenden, erweitert diese Malware-Kampagne den Kreis der bisher stets betrachteten üblichen Verdächtigen.
In diesen Kontext passt eine aktuelle Meldung des Wall Street Journals (Q: Wall Street Journal), denen zufolge ein im September 2013 durchgeführter Angriff iranischer Hacker auf das Navy Marine Corps Intranet sehr viel schwer wiegender war als bisher offiziell bestätigt. Dem Bericht und den zittierten Quellen zufolge war es den Angreifern gelungen sich in dem von etwa 800.00 beteiligten Personen genutzten Netzwerk effektiv auszubreiten und Computer zu infiltrieren. Entgegen ersten Meldungen verblieben die Angreifer über mehrere Monate in dem Netzwerk verursachten einen kalkulierten Schaden von mehr als 10. Mio Dollar. Auch wenn unklar ist, ob hinter den Angriffen offizielle staatliche Institutionen gestanden haben überstiegen die damit demonstrierten technischen Fähigkeiten der Angreifer bei weitem die bisherigen Erwartungen in Bezug auf iranische Cyberwar-Fähigkeiten:
„It was a real eyeopener in terms of the capabilities of Iran to get into a Defense Department system and stay in there for months,“ said a former U.S. official. „That’s worrisome.“ (Q: Wall Street Journal)
Die Entwicklungen decken sich damit mit den unlängst aktualisierten Informationen des UNIDIR-Berichts zu den weltweiten Sicherheits- und Verteidigungs-Doktrinen, der insbesondere eine Zunahme der Berücksichtigung des Cyberspace unter Aspekten offensiver militärischer Möglichkeiten feststellt.