Roter Oktober: Cyberspionage nach fünf Jahren aufgedeckt

Den Angreifern ist es Kaspersky zufolge gelungen, Daten von zahlreichen Geräten zu stehlen, darunter PCs und iPhones, aber auch Smartphones anderer Hersteller, Wechselfestplatten und Netzwerkausrüstung etwa von Cisco. Dabei seien in den betroffenen Organisationen gezielt hochsensible Dokumente mit vertraulichen geopolitischen Inhalten gesammelt worden. Weiterhin wurden Zugänge zu gesicherten Computersystemen ausspioniert, sowie Daten aus persönlichen mobilen Geräten und von Netzwerk-Komponenten gesammelt.

Die Drahtzieher der Kampagne benutzen offenbar kyrillische Schrift. Auf den russischen Ursprung weisen Kaspersky zufolge auch die Registrierungsdaten des Kommandoservers und zahlreiche Artefakte in den verwendeten ausführbaren Dateien hin. Auch versuche die Malware, die Zeichenkodierung infizierter Systeme auf “1251” umzustellen. “Dies ist nötig, um Dateien und Verzeichnisse mit kyrillischen Buchstaben im Namen anzusprechen.” Kyrillisch schreiben außer Russland etwa Bosnien, Bulgarien, Serbien, Tadschikistan, die Ukraine und Weißrussland.

Es gibt aber “keine Beweise im engeren Sinne”, dass ein Staat hinter der Spionage steckt, sagte Vitaly Kamluk von Kaspersky gegenüber TechWeekEurope. Klar sei, dass man bisher wenige derart gezielte Kampagnen gesehen habe. “Die Angreifer hinter ‘Roter Oktober’ scheinen hinter spezifischen Organisationen her zu sein. Sie sind an hochwertigen, hochrangigen Informationen interessiert. Das erklärt, warum die Zahl infizierter Maschinen so niedrig ist – knapp über 300. Jedes Ziel wurde extra ausgesucht.”

Die meisten infizierten Systeme – nämlich 35 – fanden sich in Russland. Es folgt Kasachstan mit 21. In Aserbaidschan, Belgien und Indien wurden je 15 Rechner befallen. Zu den Zielen zählten Forschungsstellen von Regierungen in Kasachstan, Russland und Weißrussland, aber auch Botschaften im Iran, in Irland und Russland. Außerdem wurden Energie- und vor allem Kernenergie-Konzerne ebenso wie Militärzentralen in Kasachstan und Russland infiziert. Alle Zahlen beziehen sich ausschließlich auf Kaspersky-Kunden; die Zahl der insgesamt ausspionierten Systeme dürfte höher sein.

Unter anderem versuchte die Malware, Daten von Verschlüsselungssystemen zu stehlen. Darunter war eines, das auch das Europäische Parlament und die Europäische Kommission seit Sommer 2011 einsetzen.

Um sich zu tarnen, schufen die Spione eine Kommandoserver-Architektur mit 60 Domainnamen und nutzen diverse Standorte für die entsprechenden Server in verschiedenen Ländern, die vor allem aus Deutschland und Russland stammten. Die Analyse der Command-and-Control-Infrastruktur (C&C) durch Kaspersky Lab zeigt, dass die C&C-Server letztlich nur als vorgeschaltete Proxy-Server dienten, um die Identität des eigentlichen Kontrollsystems zu verbergen.

[Mit Material von Florian Kalenda, ZDNet.de]