Cyber-Spionage: Auf Roter Oktober folgt Cloud Atlas

Eine neue Angriffswelle mit gezielten Attacken droht: Cloud Atlas soll die nächste digitale Spionagekampagne sein. Die Malware sei eine aktualisierte Variante von Roter Oktober, sagen IT-Sicherheitsexperten.

Artikel veröffentlicht am ,
Ein VB-Skript aus der Malware-Sammlung der Spionagekampagne Cloud Atlas.
Ein VB-Skript aus der Malware-Sammlung der Spionagekampagne Cloud Atlas. (Bild: Kaspersky)

Offenbar bedroht eine neue Malware weltweit hochrangige Mitarbeiter aus Militär, Politik und Wirtschaft. Und wieder soll die neue Malware ausgereifter sein als alle bisher analysierten. Das IT-Sicherheitsunternehmen Kaspersky nannte die Kampagne Cloud Atlas, weil die Angreifer offenbar den schwedischen Dienst Cloudme verwenden, um die gestohlenen Daten zu sammeln.

Stellenmarkt
  1. Technology Generalist Business Innovation (m/w/d)
    ALDI SÜD Dienstleistungs-GmbH & Co. oHG, Mülheim an der Ruhr
  2. Softwareentwickler (m/w/d) für den Energiemarkt
    PSI Energy Markets GmbH, Aschaffenburg, Berlin, Hannover
Detailsuche

Die Malware werde über Spearfishing-E-Mails gezielt an die potentiellen Opfer verschickt. Sie nutze Schwachstellen in Microsoft Word aus, um sich auf dem Rechner eines Opfers zu installieren. Bei den von Kaspersky veröffentlichten Anhängen handelt es sich um vermeintliche Verkaufsangebote gebrauchter Autos. Angreifer hatten in der Red-October-Kampagne fast identische Vorlagen verwendet.

Malware für Windows, Android, iOS und Blackberry

Das IT-Sicherheitsunternehmen Blue Coat hatte sich zuerst mit dem neuen Angriff beschäftigt und ihm den Namen Inception gegeben. Dort wurde Malware entdeckt, die auch für Android, Blackberry und iOS angepasst wurde. Sie soll über präparierte MMS verbreitet worden sein und unter anderem Telefonate mitgeschnitten haben.

Cloud Atlas nutzt vermeintlich aktualisierte Versionen der Malware, die bereits in der Kampagne Roter Oktober verwendet wurde. Roter Oktober wurde Anfang 2013 von dem IT-Sicherheitsunternehmen Kaspersky aufgedeckt und seitdem nicht mehr genutzt. Damals wie heute sollten damit diplomatische Vertretungen, Regierungsstellen, militärische Einrichtungen und wissenschaftliche Forschungsanstalten in mehreren Ländern ausspioniert werden. Die meisten Angriffe gab es in Osteuropa, Russland und Zentralasien, aber auch einige in Europa und Nordamerika.

Cloud Atlas nutzt verbesserte Verschlüsselung

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Offenbar nutzen die Angreifer die in Roter Oktober verwendete Malware erneut in der Cloud-Atlas-Kampagne, wenn auch in verbesserter Form. Statt der Verschlüsselung RC4 nutzt die aktuelle Malware AES. Jede bisher installierte Malware verbindet sich laut Kaspersky mit einem eigenen Account bei Cloudme. Dorthin werden Daten von infizierten Rechnern per WebDAV hochgeladen. Die Daten werden zuvor auf dem Rechner des Opfers mit AES verschlüsselt und mit LZMA komprimiert. Die Schlüssel sind jedoch in der Malware selbst gespeichert, deshalb hat Kaspersky die erbeuteten Daten einsehen können. Es handelt sich dabei unter anderem um die persönlichen Daten eines Opfers sowie um Systeminformationen oder um Informationen über laufende Prozesse.

Zeichenketten in vielen Sprachen

Bei der Analyse der Malware haben beide Unternehmen Zeichenketten in mehreren Sprachen entdeckt, darunter in Spanisch, Koreanisch, Arabisch und Hindu. Die Zeichenkette God_Save_The_Queen deute wiederum auf einen Ursprung in Großbritannien hin.

Das mache es schwer, die eigentlichen Macher der Malware zu lokalisieren, resümieren die IT-Sicherheitsforscher. Beide gehen jedoch davon aus, dass die Kampagnen staatlich gefördert sein müssen. Das gehe einerseits aus der komplexen Angriffsstruktur und andererseits aus der Zielgruppe hervor.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cyrcle Phone 2.0
Rundes Smartphone soll 700 Euro kosten

Dass Mobiltelefone in den letzten 20 Jahren meist nicht rund gewesen sind, scheint einen guten Grund zu haben, wie das Cyrcle Phone 2.0 zeigt.

Cyrcle Phone 2.0: Rundes Smartphone soll 700 Euro kosten
Artikel
  1. A New Beginning: Jetzt wird Outcast wirklich fortgesetzt
    A New Beginning
    Jetzt wird Outcast wirklich fortgesetzt

    Rund 22 Jahre nach dem Start des ersten Teils gibt es die Ankündigung von Outcast 2 für Xbox Series X/S, Playstation 5 und Windows-PC.

  2. Bundesinnenministerium: Nur jede neunte Verwaltungsleistung ist digitalisiert
    Bundesinnenministerium
    Nur jede neunte Verwaltungsleistung ist digitalisiert

    Meldebescheinigungen oder Baugenehmigungen warten weiter auf die Digitalisierung.

  3. Smartphones: Huawei versucht nicht mehr, die besten Produkte zu machen
    Smartphones
    Huawei versucht nicht mehr, die besten Produkte zu machen

    Das Handelsembargo der USA gegen Huawei zeigt Wirkung, wenn auch anders als geplant.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 13: jetzt alle Modelle vorbestellbar • Sony Pulse 3D PS5-Headset Midnight Black vorbestellbar 89,99€ • Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED 1.189,15€) • WD Black SN750 1TB 96,99€ • Amazon Exklusives in 4K-UHD • GP Anniversary Sale: History & War [Werbung]
    •  /