„Roter Oktober“ enttarnt

 Die Experten vom russischen Softwareunternehmen Kaspersky Lab haben ein großangelegtes Cyberspionagenetz aufgedeckt. Foto: Kommersant

Die Experten vom russischen Softwareunternehmen Kaspersky Lab haben ein großangelegtes Cyberspionagenetz aufgedeckt. Foto: Kommersant

Das Kaspersky Lab hat das Spionagenetz „Roter Oktober“ aufgedeckt. Weltweit wurden Rechnernetzwerke von Regierungs- und Handelsorganisationen sowie Forschungseinrichtungen und dem Militär ausgespäht. Wahrscheinlich sind an dessen Entstehung auch russischsprachige Programmierer beteiligt.

Bei einer Analyse von Angriffen auf Rechnernetzwerke internationaler diplomatischer Vertretungen im Oktober 2012 deckten die Experten von Kaspersky Lab ein großangelegtes Cyberspionagenetz auf. Die Operation „Roter Oktober" lief offenbar bereits seit 2007.

Die Cyberkriminellen stahlen vertrauliche geopolitische Informationen und Daten, die den Zugriff auf Computersysteme, persönliche mobile Endgeräte

und Firmennetze ermöglichten. Das Hauptaugenmerk hatten die Angreifer auf Russland, die anderen GUS-Staaten, die Länder Osteuropas sowie eine Reihe von Staaten in Zentralasien gelegt. „Wir schöpften ersten Verdacht, nachdem wir von einem unserer Partner verdächtige Daten zugespielt bekamen. Schon bald erkannten wir, dass wir es mit einem der bisher größten Spionagefälle zu tun hatten", erklärte Witalij Kamljuk, Senior-Berater von Kaspersky Lab, gegenüber CNews. „Die Komplexität und Vielschichtigkeit der Schadsoftware sind einfach unglaublich: Wir sind auf mehr als 1.000 einzigartige Dateien gestoßen, die sich 34 verschiedenen Modulen zuordnen lassen. Und wir glauben, dass das nur einen Teil des tatsächlichen Ausmaßes darstellt."

Während der vergangenen fünf Jahre haben die Angreifer ungefähr 300 Computer und mobile Endgeräte infiziert und Hunderte Terabyte an Informationen erbeutet. Dabei wurden mehr als 60 Domainnamen verwendet, wie Berechnungen des Labors ergaben. Den Analysen zufolge wurden die Domains auf temporären Servern platziert, vorzugsweise mit russischen und deutschen IP-Adressen. Wo sich der Hauptserver befindet, ist noch unklar.

Russische Wörter im Text der Virusmodule lassen auf russischsprachige Programmierer schließen. Allerdings sind die Herkunft und das Ziel der Hacker Kaspersky Lab zufolge bisher noch nicht geklärt.

Die Angreifer interessierten sich nicht nur für Beamte und Diplomaten. Es wurden auch Computer in Wissenschafts-, Handels- und Militärorganisationen sowie Unternehmen aus dem Bereich der Atomenergie, der Petrolchemie und der Luft- und Raumfahrt ausspioniert. Es wurden Daten erbeutet, die Files verschiedenster Formate enthalten. Unter anderem stießen die Experten auf Dateien mit der Endung „.acid", wie sie von der Verschlüsselungssoftware Acid Cryptofiler verwendet werden. Dieses Programm wird von der Europäischen Union und der NATO genutzt. Zu den Quellen der Daten möchte Kaspersky Lab vor Abschluss der Untersuchungen keine Angaben machen.

Die Infizierung erfolgte vor allem per E-Mail. Jedes Opfer erhielt eine E-Mail, der infizierte Dokumente zu einem für die jeweilige Zielperson interessantem Thema anhängten, erklärte Witalij Kamljuk in einem Interview mit der Zeitung Wedomosti. Beispielsweise wurden Verkaufsanzeigen für Diplomatenfahrzeuge verschickt. In den Dokumenten war dann ein spezieller Trojaner verborgen, der mittels einer Schadsoftware installiert wurde. Dabei nutzte der Trojaner Sicherheitslücken in Microsoft Office. Die Schadsoftware wurde von außenstehenden Tätern programmiert und schon bei früheren Cyberangriffen eingesetzt, beispielsweise bei Angriffen gegen tibetische Aktivisten oder gegen militärische und energetische Einrichtungen asiatischer Staaten.

Das Besondere an der Software ist ein Modul, das infizierte Rechner „wiederbeleben" kann. Das Modul wurde als Plugin im Adobe Reader und in Microsoft Office implementiert und gestattete den Angreifern einen Zugriff auf das System, selbst wenn das Schadprogramm entdeckt, deaktiviert und gelöscht oder das System aktualisiert wurde. Zudem kann das Modul Daten von mobilen Geräten entwenden.

Kaspersky Lab wird die Ermittlungen gemeinsam mit internationalen Organisationen, Vollzugsbehörden und den Computer Emergency Response Teams (CERTs) fortsetzen.

In den vergangenen fünf Jahren haben sich Spionageangriffe von kleinen, sporadischen Attacken hin zu Systemen industrieller Größenordnung entwickelt, erklärte der Geschäftsführer von Peak Systems, Maxim Emm, gegenüber der Zeitung Wedomosti. Die Zielcomputer würden heute schon häufig vorab infiziert und anschließend der Zugang zu ihnen verkauft.

Vor Cyberangriffen kann man sich mit Antivirenprogrammen schützen. Außerdem sollte man bei E-Mails von unbekannten Absendern niemals Anhänge und Links öffnen sowie ein und dieselben externen Datenträger in internen und externen Netzen nutzen. „Je vielschichtiger und komplexer der Cyberschutz einer Organisation ist, desto geringer ist die Wahrscheinlichkeit eines Angriffs. Das bedeutet also, Updates rechtzeitig installieren, keine Software aus unzuverlässigen Quellen verwenden, Antivirenprogramme aktivieren und Computer, die vertrauliche Informationen enthalten, physisch von Computern mit Internetzugang trennen", empfiehlt Emm.

 

Quelle: Zusammenstellung von Meldungen aus den Internetportalen RBC Daily, Wedomosti und CNews.

Alle Rechte vorbehalten. Rossijskaja Gaseta, Moskau, Russland