Flame Reloaded - Roter Oktober: Regierungen wurden jahrelang gezielt ausspioniert
C&C-Netzwerk besteht aus mehr als 60 Domains. (Bild: Kaspersky Lab)

Abschalten der Schadsoftware ist zwecklos

Anzeige

Es wurden nicht nur Attacken auf Bürocomputer und Netzwerkhardware durchgeführt, sondern auch gezielt die Smartphones der Angestellten ausspioniert. Neben Symbian-Smartphones zählten dazu auch iPhones und Windows-Mobile-Geräte. Die Angreifer waren auch in der Lage, auf externe Festplatten und USB-Sticks zuzugreifen. Befanden sich darauf gelöschte Dateien, wurden diese von Roter Oktober wieder hergestellt.

Hintermänner von Roter Oktober sind unbekannt

Wer das Spionagenetzwerk aufgebaut hat, ist nicht bekannt und Kaspersky Lab vermutet, dass mehrere Staaten Roter Oktober finanziert haben. Die Sicherheitsexperten halten es für unwahrscheinlich, dass das Netzwerk nur von einem Staat aufgebaut wurde. Linguistische Besonderheiten im Programmcode der Malware und die Registrierungsdaten der C&C-Server deuten darauf hin, dass das Netzwerk von russischstämmigen Personen aufgebaut wurde. Die betreffenden Schadroutinen wurden nach bisherigem Kenntnisstand bei keinem anderen Angriff verwendet.

Gezielte Attacken auf einzelne Angestellte

Zur Infizierung der Computersysteme wurden ganz gezielt die Opfer ausgewählt, es wurde also sogenanntes Spear Phishing verwendet. Die Opfer erhielten auf ihre Interessen zugeschnittene E-Mails, die zum Teil von vermeintlich vertrauenswürdigen Personen stammen konnten. In diesen E-Mails befanden sich Office-Dokumente oder möglicherweise PDF-Dateien, um bekannte Sicherheitslücken in den Microsoft-Applikationen Word und Excel sowie im Adobe Reader auszunutzen. Wurden die Anhänge geöffnet, wurde der betreffende Rechner mit einem Trojanischen Pferd infiziert. Kaspersky Lab liegen zwar die infizierten Anhänge als Beweise vor, an die betreffenden E-Mails sind die Sicherheitsexperten bisher aber nicht gelangt. Sie vermuten, dass die E-Mails entweder von einem öffentlichen E-Mail-Dienstleister kamen oder aber von einem bereits gekaperten Rechner.

Deutschland ist Teil der Infrastruktur

Die Angreifer nutzten die infizierten Systeme dazu, um über C&C-Server weitere Module herunterzuladen, um weitere Komponenten zu infizieren. Das alles geschah, ohne dass das Opfer dies bemerken konnte. Das C&C-Netzwerk besteht aus über 60 Domains und soll Serverstandorte vor allem in Deutschland und Russland haben. Die Server sollen laut Kaspersky Lab in einer Kette angeordnet sein. Um die Identifizierung des zentralen C&C-Servers zu verhindern, sind etliche Proxys davorgeschaltet. Zwischen den befallenen Systemen und den Servern wurden die Daten verschlüsselt ausgetauscht.

Schadsoftware lässt sich jederzeit wiederbeleben

Die gesammelten Anmeldedaten wurden dann in Listen für spätere Attacken gesammelt. Sie sollten auch dazu dienen, Zugriff auf weitere Systeme zu erlangen. Für den Fall, dass die Schadsoftware ausgeschaltet wird, haben die Angreifer vorgesorgt: Es gibt ein sogenanntes Wiederbelebungsmodul, das sich als Plugin innerhalb von Installationen des Adobe Readers oder von Microsoft Office verbirgt. Durch die Zusendung einer präparierten Office-Datei erhalten die Angreifer jederzeit wieder Zugriff auf ein einmal befallenes System. Sie müssen das Opfer nur zum Öffnen der präparierten Datei verleiten. Dann nützt es auch nichts, wenn das ausgenutzte Sicherheitsloch bereits gestopft wurde.

 Flame Reloaded - Roter Oktober: Regierungen wurden jahrelang gezielt ausspioniert

Atalanttore 05. Jun 2013

Man kann wohl davon ausgehen, dass mit Programmcode *nicht* der Quellcode der Malware...

Sharra 17. Jan 2013

Gezielt danach gesucht wurde wohl eher, damit man die Daten überspielen und dann...

Hopedead 16. Jan 2013

Auch auf die Gefahr hin bei Golem rauszufliegen: c't macht da eine Artikel-Reihe, siehe...

Gozilla 16. Jan 2013

Nein, das ist dann eher eine Debatte. Eine Pharse ist es wenn beide reden aber keiner...

endmaster 15. Jan 2013

+1

Kommentieren



Anzeige

  1. Manager (m/w) of End User Support Services
    CSM Deutschland GmbH, Bremen
  2. IT Software Specialist (m/w) Patent Annuities Department
    Dennemeyer Group, Howald (Luxembourg)
  3. Consultant Software Asset Management (SAM) für Microsoft (m/w)
    FRITZ & MACZIOL group, deutschlandweit
  4. Inhouse Consultant (m/w) RightNow (Oracle Service Cloud)
    MS E-Business Concepts & Services GmbH, Ingolstadt

 

Detailsuche


Folgen Sie uns
       


  1. Amazon Fire TV

    Nicht funktionierende Pin-Abfrage verärgert Nutzer

  2. iPad Air 2 Benchmark

    Apples A8X überrascht mit drei Prozessor-Kernen

  3. Makesmith CNC

    CNC-Fräse als Bausatz für 300 US-Dollar

  4. Sony

    Kamerasensor für mondlose Nächte

  5. Google Security Key

    Einfache Zwei-Faktor-Authentifizierung für Google-Dienste

  6. Festgelötetes RAM

    Apple verhindert Aufrüstung des Mac Mini

  7. Hoverboard

    Schweben wie Marty McFly

  8. Nepton 120XL und 240M

    Cooler Master macht Wasserkühlungen leiser

  9. Deutsche Telekom

    Umstellung auf VoIP oder Kündigung erst ab 2017

  10. HTC

    Desire 820 Mini mit Quad-Core-Prozessor und 5-Zoll-Display



Haben wir etwas übersehen?

E-Mail an news@golem.de



Kazam Tornado 348 ausprobiert: Das dünnste Smartphone der Welt hat ein versichertes Display
Kazam Tornado 348 ausprobiert
Das dünnste Smartphone der Welt hat ein versichertes Display

OS X 10.10: Yosemite ist da
OS X 10.10
Yosemite ist da
  1. Betriebssystem Apple bringt dritte öffentliche Beta von OS X 10.10
  2. Apple OS X Yosemite - die zweite öffentliche Beta ist da
  3. Apple verkraftet Ansturm nicht OS X Yosemite - die öffentliche Beta ist da

Sony Alpha 7S im Test: Vollformater sieht auch bei Dunkelheit nicht schwarz
Sony Alpha 7S im Test
Vollformater sieht auch bei Dunkelheit nicht schwarz
  1. FPS 1000 Kamera soll 18.500 Frames pro Sekunde aufnehmen
  2. Bericht Sony will 4K-Superzoom-Kamera entwickeln
  3. Minikamera Ai-Ball Die WLAN-Kamera aus dem Überraschungsei

    •  / 
    Zum Artikel