15. Januar 2013 - Cyberspionage

„Operation Roter Oktober“

Ein Expertenteam von Kaspersky Lab berichtet über eine Cyberspionage-Kampagne, die sich seit mindestens fünf Jahren gegen diplomatische Einrichtungen, Regierungsorganisationen und Forschungsinstitute in verschiedenen Ländern richtet.

operation-roter-oktober.jpeg
Weltweit sind Staaten laut Kaspersky Lab von "Roter Oktober" betroffen (Bildquelle: Kaspersky Lab).

Auslöser der Untersuchungen durch die Forscher seien zahlreiche Angriffe gegen internationale diplomatische Einrichtungen im Oktober 2012 gewesen. Dabei kam ein großangelegtes Cyberspionage-Netzwerk ans Tageslicht, das im Laufe der Untersuchungen analysiert werden konnte. Die „Operation Roter Oktober„, kurz „Rocra“ genannt, ist demnach immer noch aktiv (Stand Januar 2013). Ihre Aktivitäten reichen ununterbrochen bis in das Jahr 2007 zurück.

Laut Kaspersky Lab seien vor allem Länder in Osteuropa sowie in Zentralasien betroffen, die Angriffe richteten sich aber auch gegen Mitteleuropa und Nordamerika. Gezielt seien dabei in den betroffenen Organisationen hochsensible Dokumente mit vertraulichen geopolitischen Inhalten gesammelt worden. Weiterhin wurden, so Kaspersky Lab,  Zugänge zu gesicherten Computersystemen ausspioniert, sowie Daten aus persönlichen mobilen Geräten und von Netzwerk-Komponenten ermittelt.

Die Angreifer hätten oftmals Informationen aus infizierten Netzwerken genutzt, um sich Zugang zu weiteren Systemen zu verschaffen. So wären zum Beispiel gestohlene Anmeldedaten in Listen gesammelt und immer dann eingesetzt worden, wenn die Angreifer Zugriff auf Passwörter für den Zugang zu weiteren Systemen benötigten.

Auch in Deutschland aktiv

Um das Netzwerk der infizierten Rechner zu kontrollieren, seien von den Angreifern mehr als 60 Domains und diverse Standorte – vor allem in Deutschland und Russland  – für die entsprechenden Server in verschiedenen Ländern eingesetzt worden. Die Analyse der Command-and-Control-Infrastruktur (C&C) habe gezeigt, dass die C&C-Server letztlich nur als vorgeschaltete Proxy-Server dienten, um die Identität des eigentlichen Kontrollsystems zu verbergen. Die Registrierungs-Daten der C&C-Server, vor allem aber zahlreiche Spuren in den ausführbaren Dateien der Malware deuten laut Kaspersky Lab darauf hin, dass die Angreifer eine russisch-sprachige Herkunft haben.

Die Infektion mit der Schadsoftware erfolgte nach Angabe der Forscher über maßgeschneiderte sogenannte Dropper-Trojaner, welche die Angreifer an ihre Opfer in Form von zielgerichteten Spear-Phishing-E-Mails verschickten. Die gefährlichen E-Mails enthielten speziell erstellte Exploits, um Schwachstellen im Sicherheitssystem von Microsoft Office und Microsoft Excel auszunutzen. Auf diese Weite konnten die Angreifer ihre Schadsoftware installieren und die Systeme damit infizieren.

(15.01.2013/fgo)

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln