Bereits im Jahr 2014 stießen Analysten von Kaspersky bei Untersuchungen auf verdächtigen Netzwerkverkehr, von dem sie zunächst dachten, er gehöre zu bekannten, staatlich gesteuerten Gruppen. Dafür sprachen die ähnlichen Ziele und Phishing-Kampagnen. Es handelte sich jedoch nicht um die "üblichen Verdächtigen" China, Nordkorea oder Russland.
Das haben ehemalige Kaspersky-Mitarbeiter dem Magazin TechCrunch hinter vorgehaltener Hand berichtet. Demnach handelte es sich um eine wesentlich fortschrittlichere IT-Operation, die unter anderem die kubanische Regierung zum Ziel hatte. Nach einiger Zeit konnten sie die Netzwerkaktivitäten einer bis dahin unbekannten spanisch sprechenden Cybergruppierung zuordnen, die sie "Careto" nannten. Der Name geht auf das spanische umgangssprachliche Wort mit der Bedeutung "hässliche Fratze" oder "Maske" zurück, das sich im Code der Malware fand.
Die Cyberbande "Careto" hat bislang niemand offiziell und öffentlich einer bestimmten Regierung zugeordnet. Die Ex-Kaspersky-Analysten, die die Gruppe zuerst entdeckt haben, waren jedoch überzeugt davon, dass IT-Experten im Auftrag der spanischen Regierung hinter der Spionageoperation von "Careto" standen.
Die "Careto"-Malware war für die damalige Zeit sehr weit entwickelt, Kaspersky stufte die Gruppe als eine der fortschrittlichsten Bedrohungen ein. Diese konnte sensible Daten stehlen, einschließlich privater Konversationen und Tastenanschlägen von damit infizierten Computern. Die Schadsoftware sei eingesetzt worden, um in Regierungsorganisationen und Privatunternehmen einzubrechen. Kaspersky vermied es, öffentlich die Drahtzieher hinter "Careto" zu benennen. Intern haben die IT-Forscher jedoch bereits damals auf die spanische Regierung geschlossen.
Es sind lediglich wenige staatlich gelenkte Cybergruppierungen aus westlichen Regierungen bekannt. Etwa die Equation Group, hinter der nach landläufiger Annahme die NSA steckt, oder die Lamberts-Gruppe mit Verdacht auf Beziehungen zur CIA nennt TechCrunch. Außerdem Cyberbande Animal Farm, die Frankreich zugeordnet wird und für die Malware Babar und Dino verantwortlich zeichnen soll. Damit reihe sich Spanien in die Reihe der kleinen westlichen Gruppe mit staatlich organisierten Cyberangreifern ein.
In der Regel stehen insbesondere Cyberbanden von Staaten im Fokus, die aus westlicher Sicht bösartige Absichten hegen. Etwa die Lazarus-Gang aus Nordkorea, die spioniert und Devisen beschafft. Die vom russischen Geheimdienst koordinierte kriminelle Vereinigung Fancy Bear ist ebenfalls weit bekannt – Microsoft hat 2023 ein Namensschema vorgeschlagen, nach dem die Gruppe nun "Forest Blizzard" heißt. Westliche Gruppierungen haben darin jedoch keinen Namensraum erhalten – bekannt ist, dass neben den USA auch Israel und das Vereinigte Königreich solche Threat Actors oder Advanced Persistent Threats (APTs) unterhalten.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare