"Red October": Spionage-Netz 5 Jahre unentdeckt

Der Sicherheitsdienstleister Kaspersky hat nach eigenen Angaben eine über fünf Jahre andauernde höchst aufwändige Kampagne zur Cyber-Spionage aufgedeckt. Das russische Unternehmen nennt das Schnüffel-Netzwerk Operation "Red October" beziehungsweise abgekürzt auch "Rocra".

In einem von Kaspersky veröffentlichten Papier, beschreibt das Unternehmen, wie unbekannte Angreifer aus China und Russland offenbar über mehrere Jahre hinweg erfolgreich in die Computernetzwerke von Botschaften, Regierungen, Forschungseinrichtungen, Ministerien, Militärs, Ölfirmen, Handelsunternehmen und Raumfahrtfirmen und diversen weiteren Einrichtungen eindringen konnten und so wohl hunderte Terabyte Daten und Informationen von mobilen Geräten, Computern und Netzwerkgeräten sammeln konnten. Operation "Red October"Von Red October betroffene Einrichtungen in aller Welt Kaspersky hat "Roter Oktober" über Monate hinweg intensiv untersucht und dabei festgestellt, dass mit der stark personalisierten Malware vor allem Einrichtungen in Osteuropa, ehemaligen Sowjetstaaten und Zentralasien infiltriert wurden - aber auch in Deutschland, den USA, Südamerika, Afrika und Australien. Derzeit läuft die "Rocra"-Kampagne laut den Sicherheitsspezialisten weiter, denn die infizierten Systeme, von denen es weltweit nur einige Hundert geben soll, senden weiter Daten an ihre Kontroll-Server.

Die Struktur des Spionage-Netzwerks soll sich auf dem Niveau der hochkomplexen Infrastruktur des Flame-Virus bewegen und die ersten Attacken erfolgten wohl bereits im Mai 2007. Die bei den Angriffen gesammelten Daten wurden teilweise für spätere Attacken wiederverwendet, so dass zum Beispiel früher erlangte Zugangsdaten später verwendet wurden, um andernorts Zugriff zu erlangen. Die Kontroll-Infrastruktur besteht aus einer Kette von Proxy-Servern, die in Deutschland, Russland und Österreich bei bekannten Hosting-Anbietern standen. Sie verhindern den Zugriff auf dahinter stehende eigentliche zentrale Server, über die die Steuerung der Malware erfolgt. Operation "Red October"Aufbau von Red October Die Angreifer nutzen eine Vielzahl von Werkzeugen, die einen späteren Zugriff auf anderen Angriffswegen zulassen, wenn bestimmte Attacken von den betroffenen Computern abgewehrt werden konnten. Außerdem wurden nicht nur Arbeitsplatz-Computer, sondern auch Smartphones mit Apple iOS, Nokias Symbian und Windows Mobile und Netzwerk-Hardware von Cisco angegriffen, um an Adressbücher, SMS, Kalenderdaten und diverse andere Infos zu gelangen.

Selbst die Wiederherstellung von gelöschten Daten von USB-Laufwerken, Zugriff auf FTP-Server in lokalen Netzwerken und E-Mail-Server per POP oder IMAP sind mit "Rocra" möglich. Darüber hinaus können mit Teilen des Pakets Screenshots angefertigt, Dateien übertragen und Tastaturanschläge aufgezeichnet werden. Insgesamt wurden über 1000 verschiedene Module aus 30 Kategorien nachgewiesen. Operation "Red October"Angriffswege von Red October Um die Malware auf die Ziel-Rechner zu bekommen, wurden mindestens drei verschiedene Sicherheitslücken in Microsoft Excel und Word ausgenutzt, die allesamt bereits wieder geschlossen wurden. Dazu wurden jeweils speziell präparierte Dokumente verschickt, die jeweils genau an das jeweilige Ziel angepasst wurden, um unvorsichtige Nutzer mit scheinbar harmlosen Inhalten zum Öffnen der Dateien zu bewegen. Außerdem versuchen die Angreifer mit Hilfe ihrer Passwortdatenbank Zugriff zu erlangen oder die bereits durch den Conficker-Wurm ausgenutzte Lücke auszunutzen.

Kaspersky geht davon aus, dass die Angreifer vor allem aus russischsprachigen Ländern kommen. Die verwendeten Exploits sollen hingegen von chinesischen Hackern stammen. Zwar sind nur vergleichsweise wenige Rechner als infiziert bekannt, doch sie gehören allesamt zu den oben genannten Organisationen. Vor allem in Russland, Kasachstan, Azerbaidschan, Belgien, Indien , Afghanistan, Armenien und dem Iran soll es infizierte Systeme geben.


Die Angreifer sammelten zahllose Dateien diverser Typen, darunter neben einfachen Text- und Office-Dateien auch PGP-Keyfiles und spezielle Dateien, die mit einem nur von NATO- und EU-Mitgliedsstaaten genutzten geheimen Tool verschlüsselt wurden. Offenbar geht es vor allem darum, an Geheiminformationen und geopolitische Daten zu gelangen. Noch ist unklar, was die Angreifer mit den gesammelten Daten anfingen, so dass Kaspersky unter anderem vermutet, die Informationen seien auf dem Schwarzmarkt an Höchstbietende verkauft worden.

Was die Bedrohung durch "Red October" betrifft, so hält man das Netz bei Kaspersky wegen seiner Komplexität für deutlich gefährlicher als zum Beispiel frühere Malware wie Flame, Duqu oder Gauss - auch weil die Angreifer über mindestens fünf Jahre unentdeckt arbeiten konnten. Kaspersky arbeitet derzeit mit diversen Sicherheitsbehörden in aller Welt zusammen, um weitere Informationen zu dem Spionage-Netzwerk zu sammeln.
Mehr zum Thema: Kaspersky
Diese Nachricht empfehlen
Videos zum Thema
 
Gute Arbeit, Kaspersky und die Hacker
 
@BrakerB: Man kann auch schreiben,schlecht Kaspersky,5 Jahre tummelten sich die Viren auf den PCs und wurden nicht erkannt. Na wer weiß was noch so auf unseren Rechnern rumliegt,am besten immer Offline bleiben !!
 
@malocher: naja trotzdem gute arbeit kaspersky - die anderen AV-Hersteller haben es ja scheinbar bis heute nicht gefunden :D - Und ich kann dich beruhigen, deine Daten sind für solche aufwändigen Operationen sicher viel zu uninteressant.
 
@malocher: man weiß ja nicht genau welche sicherheitssoftware die infizierten systeme benutzt haben. gab ja offenbar nicht ganz so viele
 
@malocher: Alles Rechner auf die Kaspersky keinen Zugriff hat!


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Wöchentlicher Newsletter

Jetzt als Amazon Blitzangebot

Ab 09:59Braun Oral-B Precision Clean 7er+1-PackBraun Oral-B Precision Clean 7er+1-Pack
Original Amazon-Preis
17,48
Blitzangebot-Preis
15,99
Ersparnis 9% oder 1,49
Jetzt Kaufen
Im WinFuture Preisvergleich

Kaspersky-Produkte auf Amazon

Beliebt im WinFuture-Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles