Kaspersky entlarvt Cyberangriff "Roter Oktober"
Kaspersky Lab hat ein seit fünf Jahren aktives Schadprogramm aufgespürt. Die hochflexible Malware soll vertrauliche, geopolitische Informationen von Computersystemen, Mobiltelefonen und Netzwerk-Komponenten geklaut haben. In der Schweiz sind diplomatische Einrichtungen betroffen.
Eine Cyberspionage-Kampagne treibt seit mindestens fünf Jahren ihr Unwesen gegen diplomatische Einrichtungen, Regierungsorganisationen und Forschungsinstitute in zahlreichen Ländern. Kaspersky hat nun die unheilvollen Aktivitäten der Malware aufgedeckt, wie das Unternehmen mitteilt. Betroffen sind dem Virenexperten zufolge vor allem Länder in Osteuropa und in Zentralasien; doch auch in Westeuropa sollen diverse staatliche Einrichtungen Hackerangriffe erlitten haben. In der Schweiz sei eine oder mehrere diplomatische Einrichtungen infiltriert worden, genauso in Deutschland, Portugal und Spanien. In Frankreich sind Kaspersky zufolge zusätzlich auch Luftfahrteinrichtungen betroffen, in Spanien Regierungsorganisationen.
Jahrelang unentdeckt
Das Schadprogramm "Roter Oktober" wurde nach dem nahezu unsichtbaren Unterseeboot aus dem Roman "Jagd auf roter Oktober" getauft, da die Malware imstande war, rund fünf Jahre lang unentdeckt zu bleiben. "Rocra" (kurz für Roter Oktober) soll seit 2007 nebst diplomatischen Einrichtungen und Regierungsorganisationen weltweit auch Forschungsinstitute, Energie- und Atomkonzerne, Handelsorganisationen sowie Einrichtungen der Luft- und Raumfahrt angegriffen haben und von diesen sensible Dokumente geklaut.
Teil der Infrastruktur liegt in Deutschland
Die Angreifer erzeugten mehr als 60 Domains, um das Netzwerk der infizierten Rechner zu kontrollieren, wie Kaspersky mitteilt. Die entsprechenden Server lägen in verschiedenen Ländern, vor allem in Deutschland und Russland. Die aus den infizierten Systemen gestohlenen Dokumente sollen bis zu 34 Dateiendungen haben. Besonders die mit "acid" beginnenden Endungen deutet dem Virenexperten zufolge darauf hin, dass eine geschützte Software mit Namen "Acid Cryptofiler" eingesetzt wurde. Sie werde von verschiedenen öffentlichen Einrichtungen genutzt, auch von der Europäischen Union und von der NATO.
Infiltration mit Spear-Phishing-E-Mails
Die Angreifer verschickten Kaspersky zufolge Spear-Phishing-E-Mails an ihre Opfer, um die Malware zu installieren. Die E-Mails enthielten angeblich speziell erstellte Exploits, um Schwachstellen im Sicherheitssystem von Microsoft Office und Microsoft Excel auszunutzen.
Verwendete Plattform von Rocra noch nie benutzt
Für die Angriffe soll eine multifunktionale Plattform benutzt worden sein. Die verwendete Plattform ist Kaspersky zufolge Rocra-spezifisch und wurde zuvor noch nie in untersuchten Cyberspionage-Kampagnen verwendet. Ein besonderes Merkmal der Rocra-Plattform sei ein einzigartiges "Wiederbelebungs"-Modul, dass den Angreifern erlaube, jederzeit wieder Zugriff auf das Zielsystem zu erlangen, selbst wenn der eigentliche Kern der Schadsoftware bereits entdeckt und entfernt worden sei. Beachtlich seien ausserdem die ausgefeilten kryptografischen Spionage-Module zum Diebstahl verschlüsselter Daten.
Auch Smartphones und Unternehmens-Netzwerke betroffen
Rocra soll nicht nur Workstations angreifen, sondern auch Daten von mobilen Geräten wie Smartphones stehlen und imstande sein, auf Unternehmens-Netwerke wie Router und Switches sowie auf gelöschte Dateien von Wechseldatenträgern zurückzugreifen.
Die Angreifer habe Kaspersky zufolge sehr wahrscheinlich eine russischsprachige Herkunft.
Netskope gibt MSPs neue Self-Service-Tools an die Hand
EPFL macht Apertus und Co. fit für das Gesundheitswesen
Lastminute streicht wegen KI rund 400 Stellen
Vermeintliche EWZ-Mitarbeitende vishen nach Twint-Konten
Update: Bald fahren Uber-Robotaxis durch Zürich
Visual-Effects-Profis versuchen sich an 3-D-Software aus den 90er-Jahren
RedIT expandiert in die Ostschweiz
Schweizer Gemeinden fordern mehr Zusammenarbeit für die Digitalisierung
Update: Bund gibt Startschuss für mobiles Sicherheitskommunikationssystem
