Original-URL des Artikels: http://www.golem.de/news/flame-reloaded-roter-oktober-regierungen-wurden-jahrelang-gezielt-ausspioniert-1301-96911.html    Veröffentlicht: 15.01.2013 10:07

Flame Reloaded - Roter Oktober

Regierungen wurden jahrelang gezielt ausspioniert

Seit schätzungsweise über fünf Jahren seien unter anderem Regierungsstellen im Rahmen der Operation Roter Oktober ausspioniert worden, berichten die Sicherheitsexperten von Kaspersky Lab. Die Cyberspionage war ähnlich ausgeklügelt aufgebaut und getarnt wie die Flame-Attacke.

Die Spionageinfrastruktur Roter Oktober soll seit mehr als fünf Jahren aktiv gewesen sein, ohne nennenswert Aufmerksamkeit zu erzeugen. Der gesamte Aufbau ist dabei ähnlich komplex wie bei Flame. So soll die Aktion Roter Oktober im Mai 2007 angefangen haben, Kaspersky Lab ermittelt seit Oktober 2012 in dem Fall und hat nun die Öffentlichkeit informiert. Das Spionagenetzwerk soll weiterhin aktiv sein.

Tom-Clancy-Roman als Namensgeber

Die Sicherheitsexperten gaben dem Netzwerk den Titel Roter Oktober, benannt nach dem bekannten Roman Jagd auf Roter Oktober von Tom Clancy aus dem Jahre 1984, der 1990 von John McTiernan mit Sean Connery und Alec Baldwin in den Hauptrollen verfilmt wurde. Darin trägt ein sowjetisches Atom-U-Boot die Bezeichnung Roter Oktober, das mit einem sogenannten Raupenantrieb nahezu lautlos fahren kann und damit von Feinden nicht ohne weiteres bemerkt werden kann.

Der nun bekanntgewordene Cyber-Angriff diente vor allem zum Ausspionieren von diplomatischen Vertretungen, von Regierungsstellen, militärischen Einrichtungen und wissenschaftlichen Forschungsanstalten in mehreren Ländern. Die meisten Angriffe gab es in Osteuropa, Russland und Zentralasien, aber es gab auch Attacken in Europa und Nordamerika.

Angriff auf verschlüsselte Daten

Die Attacken dienten vor allem dazu, vertrauliche Daten und Geheimdokumente zu sammeln. Gezielt wurde nach Dokumenten mit der Endung .acid gesucht, die für "Acid Cryptofiler" steht. Dabei handelt sich um eine Software, die von verschiedenen öffentlichen Einrichtungen zur Verschlüsselung verwendet wird. Neben der Europäischen Union nutzt auch die Nato diese Software.



Abschalten der Schadsoftware ist zwecklos

Es wurden nicht nur Attacken auf Bürocomputer und Netzwerkhardware durchgeführt, sondern auch gezielt die Smartphones der Angestellten ausspioniert. Neben Symbian-Smartphones zählten dazu auch iPhones und Windows-Mobile-Geräte. Die Angreifer waren auch in der Lage, auf externe Festplatten und USB-Sticks zuzugreifen. Befanden sich darauf gelöschte Dateien, wurden diese von Roter Oktober wieder hergestellt.

Hintermänner von Roter Oktober sind unbekannt

Wer das Spionagenetzwerk aufgebaut hat, ist nicht bekannt und Kaspersky Lab vermutet, dass mehrere Staaten Roter Oktober finanziert haben. Die Sicherheitsexperten halten es für unwahrscheinlich, dass das Netzwerk nur von einem Staat aufgebaut wurde. Linguistische Besonderheiten im Programmcode der Malware und die Registrierungsdaten der C&C-Server deuten darauf hin, dass das Netzwerk von russischstämmigen Personen aufgebaut wurde. Die betreffenden Schadroutinen wurden nach bisherigem Kenntnisstand bei keinem anderen Angriff verwendet.

Gezielte Attacken auf einzelne Angestellte

Zur Infizierung der Computersysteme wurden ganz gezielt die Opfer ausgewählt, es wurde also sogenanntes Spear Phishing verwendet. Die Opfer erhielten auf ihre Interessen zugeschnittene E-Mails, die zum Teil von vermeintlich vertrauenswürdigen Personen stammen konnten. In diesen E-Mails befanden sich Office-Dokumente oder möglicherweise PDF-Dateien, um bekannte Sicherheitslücken in den Microsoft-Applikationen Word und Excel sowie im Adobe Reader auszunutzen. Wurden die Anhänge geöffnet, wurde der betreffende Rechner mit einem Trojanischen Pferd infiziert. Kaspersky Lab liegen zwar die infizierten Anhänge als Beweise vor, an die betreffenden E-Mails sind die Sicherheitsexperten bisher aber nicht gelangt. Sie vermuten, dass die E-Mails entweder von einem öffentlichen E-Mail-Dienstleister kamen oder aber von einem bereits gekaperten Rechner.

Deutschland ist Teil der Infrastruktur

Die Angreifer nutzten die infizierten Systeme dazu, um über C&C-Server weitere Module herunterzuladen, um weitere Komponenten zu infizieren. Das alles geschah, ohne dass das Opfer dies bemerken konnte. Das C&C-Netzwerk besteht aus über 60 Domains und soll Serverstandorte vor allem in Deutschland und Russland haben. Die Server sollen laut Kaspersky Lab in einer Kette angeordnet sein. Um die Identifizierung des zentralen C&C-Servers zu verhindern, sind etliche Proxys davorgeschaltet. Zwischen den befallenen Systemen und den Servern wurden die Daten verschlüsselt ausgetauscht.

Schadsoftware lässt sich jederzeit wiederbeleben

Die gesammelten Anmeldedaten wurden dann in Listen für spätere Attacken gesammelt. Sie sollten auch dazu dienen, Zugriff auf weitere Systeme zu erlangen. Für den Fall, dass die Schadsoftware ausgeschaltet wird, haben die Angreifer vorgesorgt: Es gibt ein sogenanntes Wiederbelebungsmodul, das sich als Plugin innerhalb von Installationen des Adobe Readers oder von Microsoft Office verbirgt. Durch die Zusendung einer präparierten Office-Datei erhalten die Angreifer jederzeit wieder Zugriff auf ein einmal befallenes System. Sie müssen das Opfer nur zum Öffnen der präparierten Datei verleiten. Dann nützt es auch nichts, wenn das ausgenutzte Sicherheitsloch bereits gestopft wurde.  (ip)


Verwandte Artikel:
Cyberwar: Nordkorea greift mit infiziertem Computerspiel den Süden an   
(08.06.2012 17:02, http://www.golem.de/news/cyberwar-nordkorea-greift-mit-infiziertem-computerspiel-den-sueden-an-1206-92419.html)
Security: US-Präsident Barack Obama warnt vor Cyberattacken   
(20.07.2012 18:28, http://www.golem.de/news/security-us-praesident-barack-obama-warnt-vor-cyberattacken-1207-93345.html)
Soziales Netzwerk: Facebook löscht Fake-Accounts   
(27.09.2012 13:29, http://www.golem.de/news/soziales-netzwerk-facebook-loescht-fake-accounts-1209-94792.html)
Spamsoldier: SMS-Attacke auf Android-Smartphones   
(19.12.2012 09:40, http://www.golem.de/news/spamsoldier-sms-attacke-auf-android-smartphones-1212-96453.html)
Skynet: Botnetz wird via Tor-Netzwerk per IRC gesteuert   
(10.12.2012 18:29, http://www.golem.de/news/skynet-botnetz-wird-via-tor-netzwerk-per-irc-gesteuert-1212-96261.html)

© 2014 by Golem.de