"Red October":
Spionage-Netz 5 Jahre unentdeckt
Kaspersky veröffentlichten Papier, beschreibt das Unternehmen, wie unbekannte Angreifer aus China und Russland offenbar über mehrere Jahre hinweg erfolgreich in die Computernetzwerke von Botschaften, Regierungen, Forschungseinrichtungen, Ministerien, Militärs, Ölfirmen, Handelsunternehmen und Raumfahrtfirmen und diversen weiteren Einrichtungen eindringen konnten und so wohl hunderte Terabyte Daten und Informationen von mobilen Geräten, Computern und Netzwerkgeräten sammeln konnten.
Von Red October betroffene Einrichtungen in aller Welt
Kaspersky hat "Roter Oktober" über Monate hinweg intensiv untersucht und dabei festgestellt, dass mit der stark personalisierten Malware vor allem Einrichtungen in Osteuropa, ehemaligen Sowjetstaaten und Zentralasien infiltriert wurden - aber auch in Deutschland, den USA, Südamerika, Afrika und Australien. Derzeit läuft die "Rocra"-Kampagne laut den Sicherheitsspezialisten weiter, denn die infizierten Systeme, von denen es weltweit nur einige Hundert geben soll, senden weiter Daten an ihre Kontroll-Server.
Die Struktur des Spionage-Netzwerks soll sich auf dem Niveau der hochkomplexen Infrastruktur des Flame-Virus bewegen und die ersten Attacken erfolgten wohl bereits im Mai 2007. Die bei den Angriffen gesammelten Daten wurden teilweise für spätere Attacken wiederverwendet, so dass zum Beispiel früher erlangte Zugangsdaten später verwendet wurden, um andernorts Zugriff zu erlangen. Die Kontroll-Infrastruktur besteht aus einer Kette von Proxy-Servern, die in Deutschland, Russland und Österreich bei bekannten Hosting-Anbietern standen. Sie verhindern den Zugriff auf dahinter stehende eigentliche zentrale Server, über die die Steuerung der Malware erfolgt. Aufbau von Red October Die Angreifer nutzen eine Vielzahl von Werkzeugen, die einen späteren Zugriff auf anderen Angriffswegen zulassen, wenn bestimmte Attacken von den betroffenen Computern abgewehrt werden konnten. Außerdem wurden nicht nur Arbeitsplatz-Computer, sondern auch Smartphones mit Apple iOS, Nokias Symbian und Windows Mobile und Netzwerk-Hardware von Cisco angegriffen, um an Adressbücher, SMS, Kalenderdaten und diverse andere Infos zu gelangen.
Selbst die Wiederherstellung von gelöschten Daten von USB-Laufwerken, Zugriff auf FTP-Server in lokalen Netzwerken und E-Mail-Server per POP oder IMAP sind mit "Rocra" möglich. Darüber hinaus können mit Teilen des Pakets Screenshots angefertigt, Dateien übertragen und Tastaturanschläge aufgezeichnet werden. Insgesamt wurden über 1000 verschiedene Module aus 30 Kategorien nachgewiesen. Angriffswege von Red October Um die Malware auf die Ziel-Rechner zu bekommen, wurden mindestens drei verschiedene Sicherheitslücken in Microsoft Excel und Word ausgenutzt, die allesamt bereits wieder geschlossen wurden. Dazu wurden jeweils speziell präparierte Dokumente verschickt, die jeweils genau an das jeweilige Ziel angepasst wurden, um unvorsichtige Nutzer mit scheinbar harmlosen Inhalten zum Öffnen der Dateien zu bewegen. Außerdem versuchen die Angreifer mit Hilfe ihrer Passwortdatenbank Zugriff zu erlangen oder die bereits durch den Conficker-Wurm ausgenutzte Lücke auszunutzen.
Kaspersky geht davon aus, dass die Angreifer vor allem aus russischsprachigen Ländern kommen. Die verwendeten Exploits sollen hingegen von chinesischen Hackern stammen. Zwar sind nur vergleichsweise wenige Rechner als infiziert bekannt, doch sie gehören allesamt zu den oben genannten Organisationen. Vor allem in Russland, Kasachstan, Azerbaidschan, Belgien, Indien , Afghanistan, Armenien und dem Iran soll es infizierte Systeme geben.
Die Angreifer sammelten zahllose Dateien diverser Typen, darunter neben einfachen Text- und Office-Dateien auch PGP-Keyfiles und spezielle Dateien, die mit einem nur von NATO- und EU-Mitgliedsstaaten genutzten geheimen Tool verschlüsselt wurden. Offenbar geht es vor allem darum, an Geheiminformationen und geopolitische Daten zu gelangen. Noch ist unklar, was die Angreifer mit den gesammelten Daten anfingen, so dass Kaspersky unter anderem vermutet, die Informationen seien auf dem Schwarzmarkt an Höchstbietende verkauft worden.
Was die Bedrohung durch "Red October" betrifft, so hält man das Netz bei Kaspersky wegen seiner Komplexität für deutlich gefährlicher als zum Beispiel frühere Malware wie Flame, Duqu oder Gauss - auch weil die Angreifer über mindestens fünf Jahre unentdeckt arbeiten konnten. Kaspersky arbeitet derzeit mit diversen Sicherheitsbehörden in aller Welt zusammen, um weitere Informationen zu dem Spionage-Netzwerk zu sammeln.
In einem von Die Struktur des Spionage-Netzwerks soll sich auf dem Niveau der hochkomplexen Infrastruktur des Flame-Virus bewegen und die ersten Attacken erfolgten wohl bereits im Mai 2007. Die bei den Angriffen gesammelten Daten wurden teilweise für spätere Attacken wiederverwendet, so dass zum Beispiel früher erlangte Zugangsdaten später verwendet wurden, um andernorts Zugriff zu erlangen. Die Kontroll-Infrastruktur besteht aus einer Kette von Proxy-Servern, die in Deutschland, Russland und Österreich bei bekannten Hosting-Anbietern standen. Sie verhindern den Zugriff auf dahinter stehende eigentliche zentrale Server, über die die Steuerung der Malware erfolgt. Aufbau von Red October Die Angreifer nutzen eine Vielzahl von Werkzeugen, die einen späteren Zugriff auf anderen Angriffswegen zulassen, wenn bestimmte Attacken von den betroffenen Computern abgewehrt werden konnten. Außerdem wurden nicht nur Arbeitsplatz-Computer, sondern auch Smartphones mit Apple iOS, Nokias Symbian und Windows Mobile und Netzwerk-Hardware von Cisco angegriffen, um an Adressbücher, SMS, Kalenderdaten und diverse andere Infos zu gelangen.
Selbst die Wiederherstellung von gelöschten Daten von USB-Laufwerken, Zugriff auf FTP-Server in lokalen Netzwerken und E-Mail-Server per POP oder IMAP sind mit "Rocra" möglich. Darüber hinaus können mit Teilen des Pakets Screenshots angefertigt, Dateien übertragen und Tastaturanschläge aufgezeichnet werden. Insgesamt wurden über 1000 verschiedene Module aus 30 Kategorien nachgewiesen. Angriffswege von Red October Um die Malware auf die Ziel-Rechner zu bekommen, wurden mindestens drei verschiedene Sicherheitslücken in Microsoft Excel und Word ausgenutzt, die allesamt bereits wieder geschlossen wurden. Dazu wurden jeweils speziell präparierte Dokumente verschickt, die jeweils genau an das jeweilige Ziel angepasst wurden, um unvorsichtige Nutzer mit scheinbar harmlosen Inhalten zum Öffnen der Dateien zu bewegen. Außerdem versuchen die Angreifer mit Hilfe ihrer Passwortdatenbank Zugriff zu erlangen oder die bereits durch den Conficker-Wurm ausgenutzte Lücke auszunutzen.
Kaspersky geht davon aus, dass die Angreifer vor allem aus russischsprachigen Ländern kommen. Die verwendeten Exploits sollen hingegen von chinesischen Hackern stammen. Zwar sind nur vergleichsweise wenige Rechner als infiziert bekannt, doch sie gehören allesamt zu den oben genannten Organisationen. Vor allem in Russland, Kasachstan, Azerbaidschan, Belgien, Indien , Afghanistan, Armenien und dem Iran soll es infizierte Systeme geben.
Die Angreifer sammelten zahllose Dateien diverser Typen, darunter neben einfachen Text- und Office-Dateien auch PGP-Keyfiles und spezielle Dateien, die mit einem nur von NATO- und EU-Mitgliedsstaaten genutzten geheimen Tool verschlüsselt wurden. Offenbar geht es vor allem darum, an Geheiminformationen und geopolitische Daten zu gelangen. Noch ist unklar, was die Angreifer mit den gesammelten Daten anfingen, so dass Kaspersky unter anderem vermutet, die Informationen seien auf dem Schwarzmarkt an Höchstbietende verkauft worden.
Was die Bedrohung durch "Red October" betrifft, so hält man das Netz bei Kaspersky wegen seiner Komplexität für deutlich gefährlicher als zum Beispiel frühere Malware wie Flame, Duqu oder Gauss - auch weil die Angreifer über mindestens fünf Jahre unentdeckt arbeiten konnten. Kaspersky arbeitet derzeit mit diversen Sicherheitsbehörden in aller Welt zusammen, um weitere Informationen zu dem Spionage-Netzwerk zu sammeln.
Thema:
Neue Downloads
Neue Kaspersky-Bilder
Videos zum Thema Sicherheit
- Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
- Super Bowl 2023: CrowdStrike zeigt, wie man echte Trojaner abwehrt
- DNS über HTTPS: So aktiviert man die Verschlüsselung im Firefox
- Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
- E-Mail-Sicherheitslücke in Microsoft Office lässt sich einfach abstellen
Aus dem Sicherheits-Forum
Weiterführende Links
Beliebt im Preisvergleich
- Sicherheit & Backup:
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schild
Original Amazon-Preis
32,99 €
Im Preisvergleich ab
32,99 €
Blitzangebot-Preis
22,43 €
Ersparnis zu Amazon 32% oder 10,56 €
Neue Nachrichten
- Bestpreis-Tarif: Allnet-Flat mit 25 GB im Telekom-Netz für 9,99 Euro
- Blackwell B200: Nvidia will seinen bisherigen Super-Chip noch toppen
- Microsoft Teams: Neue Funktionen für Nutzer, Admins und Entwickler
- Garnet: Microsoft Research gibt überlegenes Cache-System frei
- Callya: Vodafone schenkt allen Prepaid-Kunden 10 GB Datenvolumen
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- FritzBox wird heute 20 Jahre: Geschichte von 8 MBit/s bis 10 GBit/s
Videos
Neueste Downloads
Beliebte Nachrichten
Meist kommentierte Nachrichten
Forum
-
WSA Abschaltung
Stefan_der_held - vor 19 Minuten -
Neu: Mozilla Firefox 124.0 freigegeben: die neueste Version steht zum
el_pelajo - Gestern 15:22 Uhr -
Mein Favoriten-Browser
Stef4n - Vorgestern 23:01 Uhr -
Offic 365 Single auf neuen Nutzer des PC übertragen
quickclick - Vorgestern 14:13 Uhr -
Der Ingame Screenshot Thread
MiezMau - 16.03. 23:19 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen