Abo
  • Services:
Anzeige
C&C-Netzwerk besteht aus mehr als 60 Domains.
C&C-Netzwerk besteht aus mehr als 60 Domains. (Bild: Kaspersky Lab)

Abschalten der Schadsoftware ist zwecklos

Es wurden nicht nur Attacken auf Bürocomputer und Netzwerkhardware durchgeführt, sondern auch gezielt die Smartphones der Angestellten ausspioniert. Neben Symbian-Smartphones zählten dazu auch iPhones und Windows-Mobile-Geräte. Die Angreifer waren auch in der Lage, auf externe Festplatten und USB-Sticks zuzugreifen. Befanden sich darauf gelöschte Dateien, wurden diese von Roter Oktober wieder hergestellt.

Hintermänner von Roter Oktober sind unbekannt

Wer das Spionagenetzwerk aufgebaut hat, ist nicht bekannt und Kaspersky Lab vermutet, dass mehrere Staaten Roter Oktober finanziert haben. Die Sicherheitsexperten halten es für unwahrscheinlich, dass das Netzwerk nur von einem Staat aufgebaut wurde. Linguistische Besonderheiten im Programmcode der Malware und die Registrierungsdaten der C&C-Server deuten darauf hin, dass das Netzwerk von russischstämmigen Personen aufgebaut wurde. Die betreffenden Schadroutinen wurden nach bisherigem Kenntnisstand bei keinem anderen Angriff verwendet.

Anzeige

Gezielte Attacken auf einzelne Angestellte

Zur Infizierung der Computersysteme wurden ganz gezielt die Opfer ausgewählt, es wurde also sogenanntes Spear Phishing verwendet. Die Opfer erhielten auf ihre Interessen zugeschnittene E-Mails, die zum Teil von vermeintlich vertrauenswürdigen Personen stammen konnten. In diesen E-Mails befanden sich Office-Dokumente oder möglicherweise PDF-Dateien, um bekannte Sicherheitslücken in den Microsoft-Applikationen Word und Excel sowie im Adobe Reader auszunutzen. Wurden die Anhänge geöffnet, wurde der betreffende Rechner mit einem Trojanischen Pferd infiziert. Kaspersky Lab liegen zwar die infizierten Anhänge als Beweise vor, an die betreffenden E-Mails sind die Sicherheitsexperten bisher aber nicht gelangt. Sie vermuten, dass die E-Mails entweder von einem öffentlichen E-Mail-Dienstleister kamen oder aber von einem bereits gekaperten Rechner.

Deutschland ist Teil der Infrastruktur

Die Angreifer nutzten die infizierten Systeme dazu, um über C&C-Server weitere Module herunterzuladen, um weitere Komponenten zu infizieren. Das alles geschah, ohne dass das Opfer dies bemerken konnte. Das C&C-Netzwerk besteht aus über 60 Domains und soll Serverstandorte vor allem in Deutschland und Russland haben. Die Server sollen laut Kaspersky Lab in einer Kette angeordnet sein. Um die Identifizierung des zentralen C&C-Servers zu verhindern, sind etliche Proxys davorgeschaltet. Zwischen den befallenen Systemen und den Servern wurden die Daten verschlüsselt ausgetauscht.

Schadsoftware lässt sich jederzeit wiederbeleben

Die gesammelten Anmeldedaten wurden dann in Listen für spätere Attacken gesammelt. Sie sollten auch dazu dienen, Zugriff auf weitere Systeme zu erlangen. Für den Fall, dass die Schadsoftware ausgeschaltet wird, haben die Angreifer vorgesorgt: Es gibt ein sogenanntes Wiederbelebungsmodul, das sich als Plugin innerhalb von Installationen des Adobe Readers oder von Microsoft Office verbirgt. Durch die Zusendung einer präparierten Office-Datei erhalten die Angreifer jederzeit wieder Zugriff auf ein einmal befallenes System. Sie müssen das Opfer nur zum Öffnen der präparierten Datei verleiten. Dann nützt es auch nichts, wenn das ausgenutzte Sicherheitsloch bereits gestopft wurde.

 Flame Reloaded - Roter Oktober: Regierungen wurden jahrelang gezielt ausspioniert

eye home zur Startseite
Atalanttore 05. Jun 2013

Man kann wohl davon ausgehen, dass mit Programmcode *nicht* der Quellcode der Malware...

Sharra 17. Jan 2013

Gezielt danach gesucht wurde wohl eher, damit man die Daten überspielen und dann...

Hopedead 16. Jan 2013

Auch auf die Gefahr hin bei Golem rauszufliegen: c't macht da eine Artikel-Reihe, siehe...

Gozilla 16. Jan 2013

Nein, das ist dann eher eine Debatte. Eine Pharse ist es wenn beide reden aber keiner...

endmaster 15. Jan 2013

+1



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Darmstadt
  2. über Robert Half Deutschland GmbH & Co. KG, Großraum Düsseldorf
  3. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  4. MOBOTIX AG, Langmeil


Anzeige
Spiele-Angebote
  1. 149,99€
  2. 49,99€ (Vorbesteller-Preisgarantie)
  3. 49,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Künstliche Intelligenz

    Softbank und Honda wollen sprechendes Auto bauen

  2. Alternatives Android

    Cyanogen soll zahlreiche Mitarbeiter entlassen

  3. Update

    Onedrive erstellt automatisierte Alben und erkennt Pokémon

  4. Die Woche im Video

    Ausgesperrt, ausprobiert, ausgetüftelt

  5. 100 MBit/s

    Zusagen der Bundesnetzagentur drücken Preis für Vectoring

  6. Insolvenz

    Unister Holding mit 39 Millionen Euro verschuldet

  7. Radeons RX 480

    Die Designs von AMDs Partnern takten höher - und konstanter

  8. Koelnmesse

    Tagestickets für Gamescom ausverkauft

  9. Kluge Uhren

    Weltweiter Smartwatch-Markt bricht um ein Drittel ein

  10. Linux

    Nvidia ist bereit für einheitliche Wayland-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Digitalisierung: Darf ich am Sabbat mit meinem Lautsprecher reden?
Digitalisierung
Darf ich am Sabbat mit meinem Lautsprecher reden?
  1. Smart City Der Bürger gestaltet mit
  2. Internetwirtschaft Das ist so was von 2006
  3. Das Internet der Menschen "Industrie 4.0 verbannt Menschen nicht aus Werkhallen"

Edward Snowden: Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
Edward Snowden
Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
  1. Qualcomm-Chips Android-Geräteverschlüsselung ist angreifbar
  2. Apple Nächstes iPhone soll keine Klinkenbuchse haben
  3. Smarte Hülle Android unter dem iPhone

Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

  1. Re: Riecht irgendwie faul...

    ve2000 | 03:18

  2. Re: Fragwürdiges Funktionsprinzip

    ve2000 | 03:17

  3. Re: 5 jahre für pkw

    ecv | 03:11

  4. Re: Gut so, hoffentlich bald alle arbeitslos

    sardello | 02:58

  5. Re: Ist das Problem nicht die Größe, des Cache?

    christi1992 | 02:55


  1. 15:17

  2. 14:19

  3. 13:08

  4. 09:01

  5. 18:26

  6. 18:00

  7. 17:00

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel