Malware begluurde tenminste zes jaar regeringen, diplomaten en olie- en gasbedrijven. De Spaanstalige makers noemen de malware Careto, Spaans voor masker. Dit maakte Kaspersky vannacht bekend.


Het Russisch bedrijf vermoedt dat een regering achter de malware zit, maar laat niet weten welke. Careto begluurde vooral Marokko, BraziliŽ, het Verenigd Koninkrijk, Spanje en Frankrijk. Kaspersky rept niet over Nederland, maar wel over BelgiŽ. De malware verzamelde onder meer Skype-gesprekken, toetsaanslagen, PGP- en SSH-sleutels en netwerkverkeer. Tevens maakte het screenshots en nestelde het zich in webbrowsers.

Mogelijk ook Android en iOS-besmettingen


Naast het vergaren van bovenstaande informatie kon het ook de nog schadelijker SGH- en SBD-malware installeren. Hiervoor had het de beschikking over drie verschillende programma's, elk met een versie voor Windows, Mac-OSX en Linux. Kaspersky vond ook sporen van mogelijke versies voor Android en iOS, en daarnaast een veelvoud aan plugins voor de malware,

Opvallend is dat de servers die Careto moeten aansturen sinds afgelopen januari niet meer actief zijn. Althans, voor zover Kaspersky kon nagaan.

Fictieve Bulgaarse beveiligingscertificaten

Kaspersky werd op het spoor gezet van Careto doordat het zijn antivirussoftware kon omzeilen, wat trouwens met de versies van na 2008 niet meer mogelijk is.

De malware heeft volgens Kaspersky driehonderdtachtig slachtoffers gemaakt in eenendertig landen. Hiervoor zijn duizend ip's aangevallen. Naast de hierboven genoemde doelen zijn ook investeerders, onderzoekers en activisten, het doelwit geweest. De slachtoffers werden met gerichte phishingmails benaderd, die vervolgens via java, flash of browserextensies werden besmet. De makers maakte hiervoor websites van Spaanse kranten na, maar ook van de Guardian en de Washington Post.

Sinds 2010 hadden exemplaren van Careto een beveilingscertificaat van het mogelijk fictieve Bulgaarse TecSystem, wat het nog moeilijker maakte om het te detecteren.

Vooraankondiging The Mask

Vorige week kwam Kaspersky met de vooraankondiging van wat ze zelf The Mask noemen. Het kwam op hun eigen Security Analyst Summit met de details naar buiten, gevolgd door een uitgebreid rapport.

Infographic Kaspersky over Careto/The Mask.