"Red October": Spionage-Netz 5 Jahre unentdeckt

Roter Oktober, Red October, Rocra Bildquelle: Kaspersky
Der Sicherheitsdienstleister Kaspersky hat nach eigenen Angaben eine über fünf Jahre andauernde höchst aufwändige Kampagne zur Cyber-Spionage aufgedeckt. Das russische Unternehmen nennt das Schnüffel-Netzwerk Operation "Red October" beziehungsweise abgekürzt auch "Rocra". In einem von Kaspersky veröffentlichten Papier, beschreibt das Unternehmen, wie unbekannte Angreifer aus China und Russland offenbar über mehrere Jahre hinweg erfolgreich in die Computernetzwerke von Botschaften, Regierungen, Forschungseinrichtungen, Ministerien, Militärs, Ölfirmen, Handelsunternehmen und Raumfahrtfirmen und diversen weiteren Einrichtungen eindringen konnten und so wohl hunderte Terabyte Daten und Informationen von mobilen Geräten, Computern und Netzwerkgeräten sammeln konnten. Operation "Red October"Von Red October betroffene Einrichtungen in aller Welt Kaspersky hat "Roter Oktober" über Monate hinweg intensiv untersucht und dabei festgestellt, dass mit der stark personalisierten Malware vor allem Einrichtungen in Osteuropa, ehemaligen Sowjetstaaten und Zentralasien infiltriert wurden - aber auch in Deutschland, den USA, Südamerika, Afrika und Australien. Derzeit läuft die "Rocra"-Kampagne laut den Sicherheitsspezialisten weiter, denn die infizierten Systeme, von denen es weltweit nur einige Hundert geben soll, senden weiter Daten an ihre Kontroll-Server.

Die Struktur des Spionage-Netzwerks soll sich auf dem Niveau der hochkomplexen Infrastruktur des Flame-Virus bewegen und die ersten Attacken erfolgten wohl bereits im Mai 2007. Die bei den Angriffen gesammelten Daten wurden teilweise für spätere Attacken wiederverwendet, so dass zum Beispiel früher erlangte Zugangsdaten später verwendet wurden, um andernorts Zugriff zu erlangen. Die Kontroll-Infrastruktur besteht aus einer Kette von Proxy-Servern, die in Deutschland, Russland und Österreich bei bekannten Hosting-Anbietern standen. Sie verhindern den Zugriff auf dahinter stehende eigentliche zentrale Server, über die die Steuerung der Malware erfolgt. Operation "Red October"Aufbau von Red October Die Angreifer nutzen eine Vielzahl von Werkzeugen, die einen späteren Zugriff auf anderen Angriffswegen zulassen, wenn bestimmte Attacken von den betroffenen Computern abgewehrt werden konnten. Außerdem wurden nicht nur Arbeitsplatz-Computer, sondern auch Smartphones mit Apple iOS, Nokias Symbian und Windows Mobile und Netzwerk-Hardware von Cisco angegriffen, um an Adressbücher, SMS, Kalenderdaten und diverse andere Infos zu gelangen.

Selbst die Wiederherstellung von gelöschten Daten von USB-Laufwerken, Zugriff auf FTP-Server in lokalen Netzwerken und E-Mail-Server per POP oder IMAP sind mit "Rocra" möglich. Darüber hinaus können mit Teilen des Pakets Screenshots angefertigt, Dateien übertragen und Tastaturanschläge aufgezeichnet werden. Insgesamt wurden über 1000 verschiedene Module aus 30 Kategorien nachgewiesen. Operation "Red October"Angriffswege von Red October Um die Malware auf die Ziel-Rechner zu bekommen, wurden mindestens drei verschiedene Sicherheitslücken in Microsoft Excel und Word ausgenutzt, die allesamt bereits wieder geschlossen wurden. Dazu wurden jeweils speziell präparierte Dokumente verschickt, die jeweils genau an das jeweilige Ziel angepasst wurden, um unvorsichtige Nutzer mit scheinbar harmlosen Inhalten zum Öffnen der Dateien zu bewegen. Außerdem versuchen die Angreifer mit Hilfe ihrer Passwortdatenbank Zugriff zu erlangen oder die bereits durch den Conficker-Wurm ausgenutzte Lücke auszunutzen.

Kaspersky geht davon aus, dass die Angreifer vor allem aus russischsprachigen Ländern kommen. Die verwendeten Exploits sollen hingegen von chinesischen Hackern stammen. Zwar sind nur vergleichsweise wenige Rechner als infiziert bekannt, doch sie gehören allesamt zu den oben genannten Organisationen. Vor allem in Russland, Kasachstan, Azerbaidschan, Belgien, Indien , Afghanistan, Armenien und dem Iran soll es infizierte Systeme geben.

Die Angreifer sammelten zahllose Dateien diverser Typen, darunter neben einfachen Text- und Office-Dateien auch PGP-Keyfiles und spezielle Dateien, die mit einem nur von NATO- und EU-Mitgliedsstaaten genutzten geheimen Tool verschlüsselt wurden. Offenbar geht es vor allem darum, an Geheiminformationen und geopolitische Daten zu gelangen. Noch ist unklar, was die Angreifer mit den gesammelten Daten anfingen, so dass Kaspersky unter anderem vermutet, die Informationen seien auf dem Schwarzmarkt an Höchstbietende verkauft worden.

Was die Bedrohung durch "Red October" betrifft, so hält man das Netz bei Kaspersky wegen seiner Komplexität für deutlich gefährlicher als zum Beispiel frühere Malware wie Flame, Duqu oder Gauss - auch weil die Angreifer über mindestens fünf Jahre unentdeckt arbeiten konnten. Kaspersky arbeitet derzeit mit diversen Sicherheitsbehörden in aller Welt zusammen, um weitere Informationen zu dem Spionage-Netzwerk zu sammeln. Roter Oktober, Red October, Rocra Roter Oktober, Red October, Rocra Kaspersky
Mehr zum Thema: Kaspersky
Diese Nachricht empfehlen
Kommentieren56
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Beliebt im WinFuture-Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden