Zahlreiche Regierungsorganisationen betroffen

Kaspersky entlarvt Cyberangriff "Roter Oktober"

Uhr | Updated

Kaspersky Lab hat ein seit fünf Jahren aktives Schadprogramm aufgespürt. Die hochflexible Malware soll vertrauliche, geopolitische Informationen von Computersystemen, Mobiltelefonen und Netzwerk-Komponenten geklaut haben. In der Schweiz sind diplomatische Einrichtungen betroffen.

"Roter Oktober" hat weltweit sensible Daten geklaut. (Quelle: Kaspersky)
"Roter Oktober" hat weltweit sensible Daten geklaut. (Quelle: Kaspersky)

Eine Cyberspionage-Kampagne treibt seit mindestens fünf Jahren ihr Unwesen gegen diplomatische Einrichtungen, Regierungsorganisationen und Forschungsinstitute in zahlreichen Ländern. Kaspersky hat nun die unheilvollen Aktivitäten der Malware aufgedeckt, wie das Unternehmen mitteilt. Betroffen sind dem Virenexperten zufolge vor allem Länder in Osteuropa und in Zentralasien; doch auch in Westeuropa sollen diverse staatliche Einrichtungen Hackerangriffe erlitten haben. In der Schweiz sei eine oder mehrere diplomatische Einrichtungen infiltriert worden, genauso in Deutschland, Portugal und Spanien. In Frankreich sind Kaspersky zufolge zusätzlich auch Luftfahrteinrichtungen betroffen, in Spanien Regierungsorganisationen.

Jahrelang unentdeckt

Das Schadprogramm "Roter Oktober" wurde nach dem nahezu unsichtbaren Unterseeboot aus dem Roman "Jagd auf roter Oktober" getauft, da die Malware imstande war, rund fünf Jahre lang unentdeckt zu bleiben. "Rocra" (kurz für Roter Oktober) soll seit 2007 nebst diplomatischen Einrichtungen und Regierungsorganisationen weltweit auch Forschungsinstitute, Energie- und Atomkonzerne, Handelsorganisationen sowie Einrichtungen der Luft- und Raumfahrt angegriffen haben und von diesen sensible Dokumente geklaut.

Teil der Infrastruktur liegt in Deutschland

Die Angreifer erzeugten mehr als 60 Domains, um das Netzwerk der infizierten Rechner zu kontrollieren, wie Kaspersky mitteilt. Die entsprechenden Server lägen in verschiedenen Ländern, vor allem in Deutschland und Russland. Die aus den infizierten Systemen gestohlenen Dokumente sollen bis zu 34 Dateiendungen haben. Besonders die mit "acid" beginnenden Endungen deutet dem Virenexperten zufolge darauf hin, dass eine geschützte Software mit Namen "Acid Cryptofiler" eingesetzt wurde. Sie werde von verschiedenen öffentlichen Einrichtungen genutzt, auch von der Europäischen Union und von der NATO. 

Infiltration mit Spear-Phishing-E-Mails

Die Angreifer verschickten Kaspersky zufolge Spear-Phishing-E-Mails an ihre Opfer, um die Malware zu installieren. Die E-Mails enthielten angeblich speziell erstellte Exploits, um Schwachstellen im Sicherheitssystem von Microsoft Office und Microsoft Excel auszunutzen.

Verwendete Plattform von Rocra noch nie benutzt

Für die Angriffe soll eine multifunktionale Plattform benutzt worden sein. Die verwendete Plattform ist Kaspersky zufolge Rocra-spezifisch und wurde zuvor noch nie in untersuchten Cyberspionage-Kampagnen verwendet. Ein besonderes Merkmal der Rocra-Plattform sei ein einzigartiges "Wiederbelebungs"-Modul, dass den Angreifern erlaube, jederzeit wieder Zugriff auf das Zielsystem zu erlangen, selbst wenn der eigentliche Kern der Schadsoftware bereits entdeckt und entfernt worden sei. Beachtlich seien ausserdem die ausgefeilten kryptografischen Spionage-Module zum Diebstahl verschlüsselter Daten.

Auch Smartphones und Unternehmens-Netzwerke betroffen

Rocra soll nicht nur Workstations angreifen, sondern auch Daten von mobilen Geräten wie Smartphones stehlen und imstande sein, auf Unternehmens-Netwerke wie Router und Switches sowie auf gelöschte Dateien von Wechseldatenträgern zurückzugreifen.
Die Angreifer habe Kaspersky zufolge sehr wahrscheinlich eine russischsprachige Herkunft.

Webcode
fWdiCzJo