• IT-Karriere:
  • Services:

Abschalten der Schadsoftware ist zwecklos

Es wurden nicht nur Attacken auf Bürocomputer und Netzwerkhardware durchgeführt, sondern auch gezielt die Smartphones der Angestellten ausspioniert. Neben Symbian-Smartphones zählten dazu auch iPhones und Windows-Mobile-Geräte. Die Angreifer waren auch in der Lage, auf externe Festplatten und USB-Sticks zuzugreifen. Befanden sich darauf gelöschte Dateien, wurden diese von Roter Oktober wieder hergestellt.

Hintermänner von Roter Oktober sind unbekannt

Stellenmarkt
  1. Diakonie Hasenbergl e.V., München
  2. Bertrandt Ingenieurbüro GmbH, Wolfsburg

Wer das Spionagenetzwerk aufgebaut hat, ist nicht bekannt und Kaspersky Lab vermutet, dass mehrere Staaten Roter Oktober finanziert haben. Die Sicherheitsexperten halten es für unwahrscheinlich, dass das Netzwerk nur von einem Staat aufgebaut wurde. Linguistische Besonderheiten im Programmcode der Malware und die Registrierungsdaten der C&C-Server deuten darauf hin, dass das Netzwerk von russischstämmigen Personen aufgebaut wurde. Die betreffenden Schadroutinen wurden nach bisherigem Kenntnisstand bei keinem anderen Angriff verwendet.

Gezielte Attacken auf einzelne Angestellte

Zur Infizierung der Computersysteme wurden ganz gezielt die Opfer ausgewählt, es wurde also sogenanntes Spear Phishing verwendet. Die Opfer erhielten auf ihre Interessen zugeschnittene E-Mails, die zum Teil von vermeintlich vertrauenswürdigen Personen stammen konnten. In diesen E-Mails befanden sich Office-Dokumente oder möglicherweise PDF-Dateien, um bekannte Sicherheitslücken in den Microsoft-Applikationen Word und Excel sowie im Adobe Reader auszunutzen. Wurden die Anhänge geöffnet, wurde der betreffende Rechner mit einem Trojanischen Pferd infiziert. Kaspersky Lab liegen zwar die infizierten Anhänge als Beweise vor, an die betreffenden E-Mails sind die Sicherheitsexperten bisher aber nicht gelangt. Sie vermuten, dass die E-Mails entweder von einem öffentlichen E-Mail-Dienstleister kamen oder aber von einem bereits gekaperten Rechner.

Deutschland ist Teil der Infrastruktur

Die Angreifer nutzten die infizierten Systeme dazu, um über C&C-Server weitere Module herunterzuladen, um weitere Komponenten zu infizieren. Das alles geschah, ohne dass das Opfer dies bemerken konnte. Das C&C-Netzwerk besteht aus über 60 Domains und soll Serverstandorte vor allem in Deutschland und Russland haben. Die Server sollen laut Kaspersky Lab in einer Kette angeordnet sein. Um die Identifizierung des zentralen C&C-Servers zu verhindern, sind etliche Proxys davorgeschaltet. Zwischen den befallenen Systemen und den Servern wurden die Daten verschlüsselt ausgetauscht.

Schadsoftware lässt sich jederzeit wiederbeleben

Die gesammelten Anmeldedaten wurden dann in Listen für spätere Attacken gesammelt. Sie sollten auch dazu dienen, Zugriff auf weitere Systeme zu erlangen. Für den Fall, dass die Schadsoftware ausgeschaltet wird, haben die Angreifer vorgesorgt: Es gibt ein sogenanntes Wiederbelebungsmodul, das sich als Plugin innerhalb von Installationen des Adobe Readers oder von Microsoft Office verbirgt. Durch die Zusendung einer präparierten Office-Datei erhalten die Angreifer jederzeit wieder Zugriff auf ein einmal befallenes System. Sie müssen das Opfer nur zum Öffnen der präparierten Datei verleiten. Dann nützt es auch nichts, wenn das ausgenutzte Sicherheitsloch bereits gestopft wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Flame Reloaded - Roter Oktober: Regierungen wurden jahrelang gezielt ausspioniert
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 11€
  2. 64,99€
  3. 14,99€

Atalanttore 05. Jun 2013

Man kann wohl davon ausgehen, dass mit Programmcode *nicht* der Quellcode der Malware...

Sharra 17. Jan 2013

Gezielt danach gesucht wurde wohl eher, damit man die Daten überspielen und dann...

Hopedead 16. Jan 2013

Auch auf die Gefahr hin bei Golem rauszufliegen: c't macht da eine Artikel-Reihe, siehe...

Gozilla 16. Jan 2013

Nein, das ist dann eher eine Debatte. Eine Pharse ist es wenn beide reden aber keiner...

Anonymer Nutzer 15. Jan 2013

+1


Folgen Sie uns
       


Playstation 5 ausgepackt

Im Video packt Golem.de aus: Nämlich die Playstation 5 von Sony.

Playstation 5 ausgepackt Video aufrufen
20 Jahre Wikipedia: Verlässliches Wissen rettet noch nicht die Welt
20 Jahre Wikipedia
Verlässliches Wissen rettet noch nicht die Welt

Noch nie war es so einfach, per Wikipedia an enzyklopädisches Wissen zu gelangen. Doch scheint es viele Menschen gar nicht mehr zu interessieren.
Ein IMHO von Friedhelm Greis

  1. Desktop-Version Wikipedia überarbeitet "klobiges" Design

Star Wars und Star Trek: Was The Mandalorian besser macht als Discovery
Star Wars und Star Trek
Was The Mandalorian besser macht als Discovery

Unabhängig von der Story und davon, ob man Star Trek oder Star Wars lieber mag - nach den jüngsten Staffeln wird deutlich: Discovery kann handwerklich nicht mit The Mandalorian mithalten. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch

  1. Lucasfilm Games Ubisoft entwickelt Open World mit Star Wars
  2. Krieg der Sterne Star Wars spielt unter dem Logo von Lucasfilm Games
  3. Star Wars chronologisch Über 150 Stunden Krieg der Sterne

CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


      •  /