"Operation Roter Oktober": Kaspersky entdeckt Spionagekampagne

Cyber-Spionageangriff auf Regierungsorganisationen

16. Januar 2013, 9:38 Uhr | LANline/sis

Kaspersky Lab veröffentlicht Details über eine Cyber-Spionagekampagne, die sich seit mindestens fünf Jahren gegen diplomatische Einrichtungen, Regierungsorganisationen und Forschungsinstitute in verschiedenen Ländern richtet. Dabei sind vor allem Länder in Osteuropa sowie in Zentralasien von den Angriffen betroffen. Zudem richten die Attacken sich auch gegen Mitteleuropa und Nordamerika.

Mehr zum Thema:

Kleine Unternehmen investieren zu wenig in IT-Sicherheit

Jeder dritte PC durch Internet-Surfen infiziert

Die Methoden von Hackern – und wie sie sich abwehren lassen

Unternehmen fürchten Angriffe auf ihre IT

Als Folge zahlreicher Angriffe gegen internationale diplomatische Einrichtungen im Oktober 2012 begann ein Expertenteam von Kaspersky Lab seine Ermittlungen. Dabei kam ein groß angelegtes Cyber-Spionagenetzwerk ans Tageslicht. Die „Operation Roter Oktober“, kurz „Rocra“ genannt, ist demnach immer noch aktiv (Stand Januar 2013). Laut den Experten reichen die Cyber-Aktivitäten ununterbrochen bis in das Jahr 2007 zurück. Die Kriminellen zielten während der Angriffe in den betroffenen Organisationen auf hochsensible Dokumente mit vertraulichen geopolitischen Inhalten. Weiterhin spionierten sie Zugänge zu gesicherten Computersystemen aus sowie gesammelte Daten aus persönlichen mobilen Geräten und von Netzwerkkomponenten.

Die Angreifer haben in den vergangenen fünf Jahren auf diplomatische Einrichtungen und Regierungsorganisationen auf der ganzen Welt gezielt. Hinzu kommen Forschungsinstitute, Energie- und Atomkonzerne, Handelsorganisationen und Einrichtungen der Luft- und Raumfahrt. Die Mitglieder des Spionagenetzwerks haben dazu eine eigene Malware namens „Rocra“ entwickelt. Deren einzigartige modulare Architektur besteht aus schädlichen Erweiterungen, Modulen zum Datendiebstahl und so genannten Backdoor-Trojanern.

Oft nutzen die Kriminellen Informationen aus infizierten Netzwerken, um sich Zugang zu weiteren Systemen zu verschaffen. Auf diese Weise konnten sie beispielsweise gestohlene Anmeldedaten in Listen sammeln und immer dann nutzen, wenn die Angreifer Zugriff auf Passwörter für den Zugang zu weiteren Systemen benötigten.

Um das Netzwerk der infizierten Rechner zu kontrollieren, erzeugten die Angreifer mehr als 60 Domains und nutzen diverse Standorte für die entsprechenden Server in verschiedenen Ländern. Die Analyse von Kaspersky zeigt, dass die C&C-Server (Command and Control) letztlich nur als vorgeschaltete Proxy-Server dienten, um die Identität des eigentlichen Kontrollsystems zu verbergen.

Die Infektion mit der Schadsoftware erfolgte über so genannte Dropper-Trojaner. Diese verschicken Angreifer an ihre Opfer in Form zielgerichteter Spear-Phishing-E-Mails. Die gefährlichen Nachrichten enthielten speziell erstellte Exploits, um Schwachstellen im Sicherheitssystem von Office und Excel auszunutzen. Auf diese Weise konnten die Cyber-Kriminellen ihre Schadsoftware installieren und die Systeme damit infizieren.

Für die Angriffe nutzen die Hacker eine multifunktionale Plattform mit verschiedenen Erweiterungen und bösartigen Dateien. So konnten sie sich rasch an unterschiedliche Systemkonfigurationen anpassen und vertrauliche Daten von den infizierten Rechnern ziehen. Die dort verwendete Plattform ist Rocra-spezifisch und fand daher in keiner anderen zuvor untersuchten Cyber-Spionagekampagnen Anwendung. Sie erlaubt es Angreifern mit einem „Wiederbelebungs“-Modul, die Kontrolle über infizierte Systeme wiederzuerlangen. Das Modul versteckt sich als Plug-in bei Installationen von Adobe Reader und Office. Dies ermöglicht durch die Zusendung einer präparierten Datei – die nur nach dem Öffnen des Readers oder von Office funktioniert – jederzeit wieder Zugriff auf das Zielsystem, selbst wenn die Opfer den eigentlichen Kern der Schadsoftware entdeckt und entfernt oder das System gepatched haben.

Des Weiteren nutzten die Kriminellen ein kryptografisches Spionagemodule von Rocra. Mit diesem lassen sich vertrauliche Daten entwenden – auch Dateien diverser Kryptografiesysteme wie zum Beispiel „Acid Cryptofiler“. Seit Sommer 2011 verwenden die NATO und die EU sowie das Europäischen Parlament und die Europäische Kommission dieses Kryptografiesystem, um sensible Daten zu schützen.

Rocra richtet sich nicht nur gegen Workstations, sondern kann auch Daten von mobilen Geräten wie Smartphones stehlen. Ebenso zielt die Schadsoftware auf die Konfigurationsinformationen von Unternehmensnetzwerken (Router und Switches) sowie auf die gelöschten Dateien von Wechseldatenträgern.

Laut Kaspersky deuten die Registrierungs-Daten der C&C-Server und zahlreiche Spuren in den ausführbaren Dateien der Malware darauf hin, dass die Angreifer eine russischsprachige Herkunft haben. Zudem waren die ausführbaren Dateien bis zur Entdeckung der Operation unbekannt. Ferner fanden die Sicherheitsexperten sie auch nicht bei der Analyse vorheriger Cyper-Spionageangriffe. Die Produkte des Security-Unternehmens können Rocra nach eigener Aussage erfolgreich entdecken, blockieren und beseitigen sowie als „Backdoor.Win32.Sputnik“ klassifizieren.

Weitere Informationen und die komplette Analyse gibt es unter www.securelist.com/en/blog.

Hauptziel der Angriffe waren bislang Einrichtungen in Osteuropa und Zentralasien. Aber auch Mitteleuropa und Nordamerika sind betroffen.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Apposite

Weitere Artikel zu Informatica

Weitere Artikel zu Emerson Network Power (neu)

Matchmaker+