Abschalten der Schadsoftware ist zwecklos

Anzeige

Es wurden nicht nur Attacken auf Bürocomputer und Netzwerkhardware durchgeführt, sondern auch gezielt die Smartphones der Angestellten ausspioniert. Neben Symbian-Smartphones zählten dazu auch iPhones und Windows-Mobile-Geräte. Die Angreifer waren auch in der Lage, auf externe Festplatten und USB-Sticks zuzugreifen. Befanden sich darauf gelöschte Dateien, wurden diese von Roter Oktober wieder hergestellt.

Hintermänner von Roter Oktober sind unbekannt

Wer das Spionagenetzwerk aufgebaut hat, ist nicht bekannt und Kaspersky Lab vermutet, dass mehrere Staaten Roter Oktober finanziert haben. Die Sicherheitsexperten halten es für unwahrscheinlich, dass das Netzwerk nur von einem Staat aufgebaut wurde. Linguistische Besonderheiten im Programmcode der Malware und die Registrierungsdaten der C&C-Server deuten darauf hin, dass das Netzwerk von russischstämmigen Personen aufgebaut wurde. Die betreffenden Schadroutinen wurden nach bisherigem Kenntnisstand bei keinem anderen Angriff verwendet.

Gezielte Attacken auf einzelne Angestellte

Zur Infizierung der Computersysteme wurden ganz gezielt die Opfer ausgewählt, es wurde also sogenanntes Spear Phishing verwendet. Die Opfer erhielten auf ihre Interessen zugeschnittene E-Mails, die zum Teil von vermeintlich vertrauenswürdigen Personen stammen konnten. In diesen E-Mails befanden sich Office-Dokumente oder möglicherweise PDF-Dateien, um bekannte Sicherheitslücken in den Microsoft-Applikationen Word und Excel sowie im Adobe Reader auszunutzen. Wurden die Anhänge geöffnet, wurde der betreffende Rechner mit einem Trojanischen Pferd infiziert. Kaspersky Lab liegen zwar die infizierten Anhänge als Beweise vor, an die betreffenden E-Mails sind die Sicherheitsexperten bisher aber nicht gelangt. Sie vermuten, dass die E-Mails entweder von einem öffentlichen E-Mail-Dienstleister kamen oder aber von einem bereits gekaperten Rechner.

Deutschland ist Teil der Infrastruktur

Die Angreifer nutzten die infizierten Systeme dazu, um über C&C-Server weitere Module herunterzuladen, um weitere Komponenten zu infizieren. Das alles geschah, ohne dass das Opfer dies bemerken konnte. Das C&C-Netzwerk besteht aus über 60 Domains und soll Serverstandorte vor allem in Deutschland und Russland haben. Die Server sollen laut Kaspersky Lab in einer Kette angeordnet sein. Um die Identifizierung des zentralen C&C-Servers zu verhindern, sind etliche Proxys davorgeschaltet. Zwischen den befallenen Systemen und den Servern wurden die Daten verschlüsselt ausgetauscht.

Schadsoftware lässt sich jederzeit wiederbeleben

Die gesammelten Anmeldedaten wurden dann in Listen für spätere Attacken gesammelt. Sie sollten auch dazu dienen, Zugriff auf weitere Systeme zu erlangen. Für den Fall, dass die Schadsoftware ausgeschaltet wird, haben die Angreifer vorgesorgt: Es gibt ein sogenanntes Wiederbelebungsmodul, das sich als Plugin innerhalb von Installationen des Adobe Readers oder von Microsoft Office verbirgt. Durch die Zusendung einer präparierten Office-Datei erhalten die Angreifer jederzeit wieder Zugriff auf ein einmal befallenes System. Sie müssen das Opfer nur zum Öffnen der präparierten Datei verleiten. Dann nützt es auch nichts, wenn das ausgenutzte Sicherheitsloch bereits gestopft wurde.

 Flame Reloaded - Roter Oktober: Regierungen wurden jahrelang gezielt ausspioniert

Atalanttore 05. Jun 2013

Man kann wohl davon ausgehen, dass mit Programmcode *nicht* der Quellcode der Malware...

Sharra 17. Jan 2013

Gezielt danach gesucht wurde wohl eher, damit man die Daten überspielen und dann...

Hopedead 16. Jan 2013

Auch auf die Gefahr hin bei Golem rauszufliegen: c't macht da eine Artikel-Reihe, siehe...

Gozilla 16. Jan 2013

Nein, das ist dann eher eine Debatte. Eine Pharse ist es wenn beide reden aber keiner...

endmaster 15. Jan 2013

+1

Kommentieren



Anzeige

  1. Release- und Projekt-Manager mobile - international (m/w)
    PAYBACK GmbH, München
  2. Scrum Master (m/w)
    NEMETSCHEK Allplan Systems GmbH, München
  3. Mitarbeiter/-in Informationstechnologie, Produktdatenmanagement / Bill of Materials Support und Prozesse
    Daimler AG, Sindelfingen
  4. Business Intelligence Experte (m/w)
    Sparkassen Rating und Risikosysteme GmbH, Berlin

 

Detailsuche


Folgen Sie uns
       


  1. Taxi-App

    Uber will trotz Verbot in weitere deutsche Städte

  2. First-Person-Walker

    Wie viel Gameplay braucht ein Spiel?

  3. Finanzierungsrunde

    Startup Airbnb ist zehn Milliarden US-Dollar wert

  4. Spähaffäre

    Snowden erklärt seine Frage an Putin

  5. CSA-Verträge

    Microsoft senkt Preise für Support von Windows XP

  6. Test Wyse Cloud Connect

    Dells mobiles Büro

  7. Globalfoundries-Kooperation mit Samsung

    AMDs Konsolengeschäft kompensiert schwache CPU-Sparte

  8. Verband

    "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"

  9. Kabel Deutschland

    2.000 Haushalte zwei Tage von Kabelschaden betroffen

  10. Cridex-Trojaner

    Hamburger Senat bestätigt großen Schaden durch Malware



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


Cortana im Test: Gebt Windows Phone eine Stimme
Cortana im Test
Gebt Windows Phone eine Stimme

Mit Windows Phone 8.1 bringt Microsoft nicht nur lange vermisste Funktionen wie die zentrale Benachrichtigungsübersicht auf das Smartphone, sondern auch die Sprachassistentin Cortana. Diese kann den Alltag tatsächlich erleichtern - und singen.

  1. Smartphones Nokia und HTC planen Updates auf Windows Phone 8.1
  2. Ativ SE Samsungs neues Smartphone mit Windows Phone
  3. Microsoft Internet Explorer 11 für Windows Phone

Wolfenstein The New Order: "Als Ein-Mann-Armee gegen eine Übermacht"
Wolfenstein The New Order
"Als Ein-Mann-Armee gegen eine Übermacht"

B. J. Blazkowicz muss demnächst wieder die Welt retten - in einem Wolfenstein aus Schweden. Im Interview hat Golem.de mit Andreas Öjerfors, dem Senior Gameplay Designer, über verbotene Inhalte, die KI und Filmvorbilder von The New Order gesprochen.

  1. The New Order Wolfenstein erscheint ohne inhaltliche Schnitte
  2. Wolfenstein angespielt Agent Blazkowicz in historischer Mission
  3. Bethesda Zugang zur Doom-Beta führt über Wolfenstein

    •  / 
    Zum Artikel