Roter Oktober: Kaspersky deckt massive Cyberspionage auf


Operation Red October; Courtesy of Kaspersky Lab

Seitens des russischen Sicherheitsunternehmens Kaspersky hat man nach eigenen Angaben einen massiven Fall von Cyber-Spionage aufgedeckt. Es heißt, dass seit etwa fünf Jahren Rechnernetzwerke von diplomatischen Vertretungen, Regierungs- und Handelsorganisationen, Energie-Konzernen sowie Einrichtungen der Forschung, der Luftfahrt und des Militärs infiltriert wurden.

Zur Anwendung gekommen sei hierbei eine ausgeklügelte Infrastruktur, mit denen sich die hinter den Spionageaktionen beteiligten Strukturen möglicherweise Terabyte an geopolitischen Information und Daten höchster Vertraulichkeit erbeutet hätten. Im Oktober 2012 hätte man seitens Kaspersky Hinweise auf die "Red October" (Roter Oktober) bezeichnete Spionage-Infrastruktur erhalten.

In den dann angestellten Analysen ergab sich den Angaben zufolge, dass festgestellt wurde, dass sich hunderte von Infektionen in Spitzeneinrichtungen weltweit ergeben haben. Hauptsächlich osteuropäische und zentralasiatische Länder seien betroffen. Russland wies die höchste Anzahl an Infektionen auf, gefolgt von den Ländern Kasachstan und Aserbaidschan.

Mit Blick auf nordamerikanische und westeuropäische Institutionen hätte sich gezeigt, dass hier in einem eher geringen Umfang spioniert wurde (u.a. auch Australien, Irland, die Schweiz, Belgien, Brasilien, Spanien, Südafrika, Japan und die Vereinigten Arabischen Emirate).

In weiteren Angaben zur Sache konnte vernommen werden, dass der Aufbau von "Roter Oktober" ähnlich komplex gehalten sei, wie bei der damaligen Flame-Malware. Das aufgezogene Netzwerk bestand demnach aus infizierten Rechnern, welche über mehr als 60 Domains und zahlreiche Server gesteuert wurden. Diese waren in verschiedenen Ländern platziert. Dabei seien die Server in einer Kette strukturiert gewesen, den Command-and-Control-Servern (C&C) waren Proxys vorgeschaltet.

Damit sollte es "unmöglich" gemacht werden, den zentralen Command-and-Control-Server zu lokalisieren. Die Registrierungsdaten der C&C-Domains, sowie auch weitere Hinweise, sollen darauf hindeuten, dass die Spionagetätigkeit seit mind. Mai 2007 im Gang ist. Derzeit sei das System weiter "aktiv" und würde noch Daten an die C&C-Server senden, schreibt man in einer Mitteilung bei Kaspersky Labs.

Doch nicht nur das aufgezogene Spionagenetzwerk sei komplexer Natur, auch die zur Anwendung kommende Malware wird als "vielschichtig" beschrieben. Computerexperten hätten den Angaben nach mehr als 1000 Dateien identifizieren können, denen sich rund 30 verschiedene Funktions-Module zuordnen lassen. Die angreifenden Strukturen hätten damit einen "großen Raubzug" durchgeführt und "ordentlich zugelangt".

Angriffe auf sog. Workstationen wurden umgesetzt. Aber ebenso sollen die Malware-Module des Systems zum Datendiebstahl von mobilen Geräten in der Lage gewesen sein oder auch zum Anzapfen von Netzwerk-Komponenten und lokalen FTP-Servern.

Zudem hätte man auch Zugriff auf USB-Speichermedien erhalten, um von diesen Daten zu entwenden. Dazu gab es auch die Möglichkeit, bereits gelöschte Dateien (Recovery-Funktion) zu stehlen.

Auch geht man zur Infektion selbst in dem Bericht ein. Dazu heißt es, dass die angreifenden Strukturen offenbar die Möglichkeit des "Spear-Phishings" betrieben hätten.

Bei Wikipedia schreibt man zu dieser Angriffsmöglichkeit: Hierbei beschafft sich der Angreifer z. B. über die Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing-Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden. Die „Trefferquote“ bei dieser Art von Phishing-Attacken ist ungleich höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr hoch ist. Weiter spricht man in Fachkreisen von Whaling, wenn sich die gezielte Attacke gegen hohe Führungskräfte richtet.

Auch in den festgestellten Fällen hätte man entdecken können, dass man ausgewählten Opfern E-Mails zugeschickt hat. Dafür wurden die Dokumente möglichst ansprechend und interessant für die jeweilige Zielperson gestaltet, damit diese "den Köder schluckt".

Nachdem eine Infektion erfolgte, mit der Hauptkomponente der Malware, wurden über die Command-and-Control-Server im Hintergrund weitere Module über das Internet heruntergeladen. Zur Infektion seien Sicherheitslücken in MS Word, MS Excel oder auch im Adobe Reader ausgenutzt worden, schreibt man weiter.

Die aus den infizierten Netzwerken erlangten Informationen hätte man den Angaben von Kaspersky Labs zufolge systematisch in Listen zusammengestellt und immer wieder für Folge-Angriffe benutzt. Dazu merkte man auch an, dass die Angreifer es besonders auf Dateien mit der Endung ".acid" abgesehen hatten, welche von der Software "Acid Cryptofiler" erzeugt wird.

Hierbei handelt es sich um eine Sicherheitssoftware zur Verschlüsselung. Laut Kaspersky verwendet diese auch die Europäische Union und die NATO. Wer die hinter diesem komplexen Spionagenetzwerk stehenden Strukturen sind, sei derzeit nicht direkt bekannt. Derzeit schätzt man die Möglichkeit als "gering" ein, dass ein einzelner Staat die Spionagetätigkeit finanziert haben könnte.

  
Bücherindex Bild Link

Weitere Inhalte