Image Image Image Image

Cyberspionage im großen Stil: „Roter Oktober“ endlich enttarnt

Cyberspionage im großen Stil: „Roter Oktober“ endlich enttarnt

5 Jahre lang soll es aktiv gewesen sein, das größte Spionagenetzwerk das es bisher gab. "Roter Oktober" wie die Sicherheitsexperten von Kaspersky es genannt haben, soll globale Ausmaße gehabt haben. Jahrelang soll es Daten von Regierungen erbeutet haben und unter anderem auch an Server in Deutschland gesendet haben. Kaspersky ist sich sicher, die Programmierer sprechen Russisch.

Es klingt ein wenig wie in einem Agentenfilm. 3 Monate waren die Mitarbeiter von Kaspersky Labs dem Netzwerk auf der Spur. Als sie nun die Daten ihrer Jagd veröffentlichten, zogen sich die Angreifer blitzschnell zurück. So wurde am Abend der Veröffentlichung die Infrastruktur abgebaut, Server wurden abgeschaltet und Domains wurden gelöscht. Aus diesem Grund wurde das auch bisher geheim gehalten. Das Netzwerk soll verantwortlich für Angriffe und Datenraub in Botschaften, Regierungs- und wissenschaftlichen Einrichtungen sowie in Militärorganisationen sein. Desktop PCs und Handys wie zum Beispiel iPhones, Nokia und auch Windows-Mobile-Geräte sollen vornehmlich Ziele der Angreifer gewesen sein.

roteroktober

5 Jahre soll das Netzwerk aktiv gehandelt haben. Im Oktober 2012 wurde man erst darauf aufmerksam und brauchte auch geschlagene 3 Monate um das System zu identifizieren. Und dabei ist die Firma Kaspersky Labs, die sich dem Angreifer widmeten, bestimmt kein Anfänger. Das Unternehmen ist spezialisiert auf Schadsoftware, Viren, aller Art von Kriminalität und Grauzonen im digitalen Bereich. Eine detaillierte Analyse bekommt ihr hier:

Diese kam zu dem Schluss, dass die Angreifer das System in Code gossen. Deshalb auch "Roter Oktober". Eine Beauftragung von staatlicher Seite wird ausgeschlossen. Vielmehr wird vermutet, dass die Informationen im Untergrund an Interessierte verkauft wurden.

Auch eine deutsche Botschaft und eine diplomatische Vertretung der USA waren betroffen. Der Fokus klag auf Osteuropäischen Staaten. Allerdings standen auch Deutschland, die USA, Frankreich und Italien auf der Liste der interessanten Nationen. Mittlerweile gäbe es wohl noch ein paar aktive Server, aber der Großteil der Infrastruktur sei abgeschaltet.

Wie war das alles möglich?

Man bediente sich wohl einer gängigen Methode. Man verschickte auf die Zielperson zugeschnittene E-Mails mit im Anhang befindlicher Schafsoftware. Dazu wurden vornehmlich Word-, Excel- und PDF-Dateien verwendet. Öffnete die Zeilperson den Anhang, war der Deal schon perfekt und es wurde schädlicher Code implementiert. Die Hintertür stand nun also offen und es konnte jederzeit eine gewünschte Komponente hinzugefügt werden. Dabei handelte die Schadsoftware auch durchaus eigenmächtig und baute Verbindungen auf. Selbst von USB Datenträger gelöschte Dateien wurden wiederhergestellt und versendet.

Gestohlen wurden unter anderem wohl auch Verschlüsselungskomponenten des "Acid Cryptofilter", die seit 2011 auch das EU-Parlament und die EU-Kommission verwenden. Der Trojaner verschlüsselte die Informationen und Versand sie an einen der beteiligten Server. Über 60 soll es davon gegeben haben. Den Angaben zufolge standen die meisten zurückverfolgten Maschinen bei einem deutschen Web-Provider. In den nächsten Tagen werden man einen detaillierteren Bericht vorlegen, so Kaspersky.


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:

  • wer wohl?

    „Kaspersky ist sich sicher, die Programmierer sprechen Russisch.“ immer diese russen! koennen die es nicht einmal lassen? in mw3, bf3 etc. ueberall hacken sie! kommen sicherlich bei der geburt mit pc und schaedlingssoftware „raus“, lmao! denen sollte man einfach das internet kappen und sie duschen lassen!

  • Sobald detaillierte Berichte vorliegen, könnt ihr uns dann bitte noch mal Informieren?
    Und was hat sich jetzt genau unterschieden von einem Herkömmlichen Virus? Gut die länge und die Zielgruppe. Dennoch: Wie kann es sein, dass so ein Virus, der wohl auch große Daten verschickt, nicht auffällt? Spätestens wenn man sich seinen Traffic angucken, sollte man stutzig werden, oder?

  • Lexx

    Ich schau mal das ich einen etwas tiefgründigeren Bericht anfertige. Der Unterschied ist einfach die persönliche Zuschneidung ach der Schadsoftware. Der Unterschied ist: Will ich möglichst viele infizieren? oder.. Will ich jemanden ganz speziell infizieren. Dementsprechend kann ich den Virus bzw. Die Schadsoftware entsprechend anpassen. Und die Datenmengen, gerade wenn es sich nur um Textdokumente handelt ist so gering, dass es wohl kaum auffällt wenn da, im schlimmsten Falle, 30 oder 40 MB mehr durch die Leitung gehen. Heutzutage merkt das wohl kaum noch jemand. Ich bin zwar auch viel im Internet und benutze Streamingdienste wie iTunes Match, aber ich habe einen Traffic von ca 150 GB im Monat und da liege ich noch lange nicht an der Spitze. Selbst ein durchschnittlicher Surfer, der jeden Tag mal online ist, versurft schnell mehrere GB im Monat. Da fällt das nicht auf. Die Angreifer wollten ja keine Filme ziehen, sondern nur kleine Textdokumente oder gar nur Teile davon.

  • Naja, wenn es nur Text Dokumente waren, ist es klar. (Ich habe selber nur ~50MB und das ist verdammt viel). Dennoch gehe ich bei Regierungsträgen auch von anderen Dingen aus. Wieso sollen nicht auch Präsentationen mit gesendet werden? Da hat eine durchschnittliche bei mir 50MB (wegen Bildern in einer sehr guten Qualität, die auch in der Schule auf ein SmartBoard dergestalt werden können).
    Außerdem kann ich mir gut vorstellen, dass auch eventuell Film Materialien mit gesendet wurden? Wieso auch nicht. Die können genauso heikle Informationen haben. Das man das nicht im Heimnetzwerk merkt ist mir klar. (Vor 2 Monaten hatte ich knapp 1TB. Naja da war auch Spotify und eine Serie die erst nach dem 5. download lief schuld 😉 ). Aber in einem Firmennetzwerk kann ich mir vorstellen, dass der Traffic genau überwacht wird.
    Außerdem kann ich mir nicht erklären, wie 5 Jahre lang, unbemerkt so ein Virus per E-Mail Word Dateien versend wird. Das Otto-Normalverbraucher reinfällt ist mir klar, nur als Geschäftsrechner der heikle Daten enthält, würde ich mir wirklich 3x überlegen, ob ich so eine Datei Öffne 😉
    (Wenn ich von Firmenrechner rede meine ich natürlich den Firmenrechner der Regierung oder wer auch immer).

    Dennoch muss ich dir auch ein großes Lob geben: Grade so ein schweres Thema hast du gut beschrieben, dass es auch einer versehen kann, der von Computer außerhalb Facebook, YouTube, Weblogit und Wikipedia nicht der fitteste ist 😉 (Ich würde es aber auch mit den meisten Fachbegriffen verstehen).

  • Lexx

    Danke danke… Naja, es ist letztlich Spekulation wie und warum. Aber die Typen waren eben keine Script Kiddis wie die meisten, die Viren schreiben. Und wenn die sich jeweils nur auf eine oder zwei Personen konzentrieren, dann wird es schwer die zu finden. Und was die Dokumente angeht: Du hast grundsätzlich natürlich Recht, aber meiner Erfahrung nach aus Ministerien sind Textdokumente die Interessantesten, weil sie auch niedergeschrieben die Inhalte aus Präsis und Filmen enthalten. Übersichtlicher 😉 … Also schriftliche Dokumente sind meist die beste Wahl und leichter zu entwenden. Es wird ja alles niedergeschrieben… 😉 … Das mit dem Verständnis freut mich. Aber ich bin auch mehr Jurist als Informatiker. Ich kenn mich zwar aus, aber bin Fachidiot in meinem Bereich, 😀 .. Aber schön, wenn jemandem gefällt was ich so schreibe 🙂



← Menü öffnen weblogit.net | Home