Dit supercomplexe virus verspreidt zich al sinds 2007

Een verassend gecompliceerd stuk malware infecteert al sinds 2007 computers over de hele wereld, en niemand weet waar die vandaan komt. Beveiligingsbedrijf Kaspersky berichtte gisteren over de mysterieuze software die ze Careta hebben genoemd. Careta lijkt zijn oorsprong te kennen in een Spaans-sprekend land, waar het woord ook wel "masker" betekent. Ze melden ook dat het zo ingewikkeld in elkaar zit, dat geen normale hacker het gebouwd zou kunnen hebben.

Volgens het rapport, is Careto zeker gericht op machtige mensen - overheden en diplomaten, bedrijven (vooral in de energiesector), onderzoeksinstituten, financiële bedrijven en activisten. Tot nu toe zijn er 380 slachtoffers met meer dan 1000 IP-adressen in 31 landen gevonden.

Naast zijn doelwitten, is het vooral opvallend hoe flexibel het virus is. De onderzoekers zeggen dat het bestaat uit extreem geavanceerde malware, een rootkit, een bootkit, 32- en 64-bit Windows-, Mac OS X- en Linux-versies en mogelijk ook versies voor Android en iOS. Als een systeem eenmaal geïnfecteerd is, kan Careto het netwerkgebruik, toetsenbordgebruik en Skype-gesprekken opnemen, en zoeken naar bepaalde bestandstypes.

Zoals je misschien verwacht, gezien de doelwitten, is de specialiteit van Careto het vinden van gevoelige data, "inclusief encryptiesleutels, VPN-configuraties, SSH-sleutels en RDP-bestanden," aldus het rapport. Wat allemaal klinken als hele belangrijke dingen. "[Careto] houdt ook bepaalde bestandtypes in de gaten die we nog niet geïdentificeerd hebben en waarschijnlijk te maken hebben met specifieke encryptiesoftware die overheden gebruiken."

Kaspersky merkte het virus voor het eerst op toen ze een phishing-campagne tegenkwamen die het gemunt had op verschillende Spaanse en internationale nieuwssites, waaronder de Washington Post en Politico.

Met zo'n geavanceerd virus rijst natuurlijk de vraag waar die vandaan komt. In dit geval lijkt het antwoord best wel duidelijk, al wordt het extreem moeilijk te bewijzen: Careto is waarschijnlijk het werk van een staat.

"Om verschillende redenen vermoeden we dat het een door een staat gesponsorde campagne is. Ten eerste zien we een erg hoge mate van professionaliteit bij de operatie van de groep achter het virus." Daarnaast is de manier waarop het virus zijn sporen uitwist extreem goed uitgevoerd, volgens Costin Raiu, directeur van het wereldwijde onderzoeksteam van Kaspersky. "Een dergelijk niveau van operationele beveiliging is niet normaal voor cybercriminelen."

Maar wel van natiestaten, die het geld hebben om uit te geven aan geraffineerd gereedschap, en heel graag niet gepakt willen worden. We kennen allemaal Stuxnet, die waarschijnlijk ook door een land is gemaakt, en Dugu, die tot Careta het naarste stuk malware ooit was. Waarschijnljk zullen we er nooit achter komen wie achter Careto zit - ook al is het gebruik van Spaans in de code erg zeldzaam - maar het geeft in ieder geval het idee dat cyberspionage een vogelvlucht neemt.

@derektmead