Abo
  • Services:

Abschalten der Schadsoftware ist zwecklos

Es wurden nicht nur Attacken auf Bürocomputer und Netzwerkhardware durchgeführt, sondern auch gezielt die Smartphones der Angestellten ausspioniert. Neben Symbian-Smartphones zählten dazu auch iPhones und Windows-Mobile-Geräte. Die Angreifer waren auch in der Lage, auf externe Festplatten und USB-Sticks zuzugreifen. Befanden sich darauf gelöschte Dateien, wurden diese von Roter Oktober wieder hergestellt.

Hintermänner von Roter Oktober sind unbekannt

Stellenmarkt
  1. Diehl Metall Stiftung & Co. KG, Röthenbach an der Pegnitz
  2. SIZ GmbH, Bonn

Wer das Spionagenetzwerk aufgebaut hat, ist nicht bekannt und Kaspersky Lab vermutet, dass mehrere Staaten Roter Oktober finanziert haben. Die Sicherheitsexperten halten es für unwahrscheinlich, dass das Netzwerk nur von einem Staat aufgebaut wurde. Linguistische Besonderheiten im Programmcode der Malware und die Registrierungsdaten der C&C-Server deuten darauf hin, dass das Netzwerk von russischstämmigen Personen aufgebaut wurde. Die betreffenden Schadroutinen wurden nach bisherigem Kenntnisstand bei keinem anderen Angriff verwendet.

Gezielte Attacken auf einzelne Angestellte

Zur Infizierung der Computersysteme wurden ganz gezielt die Opfer ausgewählt, es wurde also sogenanntes Spear Phishing verwendet. Die Opfer erhielten auf ihre Interessen zugeschnittene E-Mails, die zum Teil von vermeintlich vertrauenswürdigen Personen stammen konnten. In diesen E-Mails befanden sich Office-Dokumente oder möglicherweise PDF-Dateien, um bekannte Sicherheitslücken in den Microsoft-Applikationen Word und Excel sowie im Adobe Reader auszunutzen. Wurden die Anhänge geöffnet, wurde der betreffende Rechner mit einem Trojanischen Pferd infiziert. Kaspersky Lab liegen zwar die infizierten Anhänge als Beweise vor, an die betreffenden E-Mails sind die Sicherheitsexperten bisher aber nicht gelangt. Sie vermuten, dass die E-Mails entweder von einem öffentlichen E-Mail-Dienstleister kamen oder aber von einem bereits gekaperten Rechner.

Deutschland ist Teil der Infrastruktur

Die Angreifer nutzten die infizierten Systeme dazu, um über C&C-Server weitere Module herunterzuladen, um weitere Komponenten zu infizieren. Das alles geschah, ohne dass das Opfer dies bemerken konnte. Das C&C-Netzwerk besteht aus über 60 Domains und soll Serverstandorte vor allem in Deutschland und Russland haben. Die Server sollen laut Kaspersky Lab in einer Kette angeordnet sein. Um die Identifizierung des zentralen C&C-Servers zu verhindern, sind etliche Proxys davorgeschaltet. Zwischen den befallenen Systemen und den Servern wurden die Daten verschlüsselt ausgetauscht.

Schadsoftware lässt sich jederzeit wiederbeleben

Die gesammelten Anmeldedaten wurden dann in Listen für spätere Attacken gesammelt. Sie sollten auch dazu dienen, Zugriff auf weitere Systeme zu erlangen. Für den Fall, dass die Schadsoftware ausgeschaltet wird, haben die Angreifer vorgesorgt: Es gibt ein sogenanntes Wiederbelebungsmodul, das sich als Plugin innerhalb von Installationen des Adobe Readers oder von Microsoft Office verbirgt. Durch die Zusendung einer präparierten Office-Datei erhalten die Angreifer jederzeit wieder Zugriff auf ein einmal befallenes System. Sie müssen das Opfer nur zum Öffnen der präparierten Datei verleiten. Dann nützt es auch nichts, wenn das ausgenutzte Sicherheitsloch bereits gestopft wurde.

 Flame Reloaded - Roter Oktober: Regierungen wurden jahrelang gezielt ausspioniert
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 189€ (Vergleichspreis je nach Farbe ab 235€)
  2. für 849€ (Einzelpreis der Grafikkarte im Vergleich teurer als das Bundle)
  3. 93,85€ (Bestpreis!)
  4. (u. a. Madden NFL 18 und Mass Effect: Andromeda PS4/XBO für je 15€, Gran Turismo Sport für...

Atalanttore 05. Jun 2013

Man kann wohl davon ausgehen, dass mit Programmcode *nicht* der Quellcode der Malware...

Sharra 17. Jan 2013

Gezielt danach gesucht wurde wohl eher, damit man die Daten überspielen und dann...

Hopedead 16. Jan 2013

Auch auf die Gefahr hin bei Golem rauszufliegen: c't macht da eine Artikel-Reihe, siehe...

Gozilla 16. Jan 2013

Nein, das ist dann eher eine Debatte. Eine Pharse ist es wenn beide reden aber keiner...

endmaster 15. Jan 2013

+1


Folgen Sie uns
       


Apple WWDC 2018 Keynote in 11 Minuten - Supercut

Im Supercut zur WWDC 2018 zeigen wir in zehn Minuten, was Apple Entwicklern und Nutzern von iOS 12, MacOS Mojave und WatchOS 5 und TvOS präsentiert hat.

Apple WWDC 2018 Keynote in 11 Minuten - Supercut Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Ingolstadt Flugtaxis sollen in Deutschland erprobt werden
  2. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  3. Cityairbus Mit Siemens soll das Lufttaxi abheben

CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


    IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
    IT-Jobs
    Fünf neue Mitarbeiter in fünf Wochen?

    Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
    Ein Bericht von Juliane Gringer

    1. Frauen in IT-Berufen Programmierte Klischees
    2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
    3. Recruiting IT-Experten brauchen harte Fakten

      •  /