Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden
Suche

Samstag, 16. Februar 2019

IT-Sicherheit

Roter Oktober: Großangelegte Industriespionage aufgedeckt

Von Uli Ries | 18. Januar 2013 | Ausgabe 3

Die Antivirenspezialisten von Kaspersky haben nach eigener Angabe einen weltweiten Fall von Cyberspionage aufgedeckt. Infiziert wurden vor allem PCs in Botschaften, Einrichtungen von Militär und Luftfahrt, Regierungs- und Handelsorganisationen sowie Energiekonzerne. Das Besondere an der entdeckten Attacke ist ihre lange Lebensdauer: Bereits 2007 sollen die ersten Systeme mit Schadsoftware verseucht worden sein.

Die betroffenen Organisationen finden sich vor allem in osteuropäischen und zentralasiatischen Ländern sowie den ehemaligen Sowjet-Republiken. Westeuropäische und nordamerikanische Institutionen sollen laut Kaspersky nur im geringen Maße Opfer geworden sein. Wer hinter dem Lauschangriff steckt, ist derzeit nicht bekannt. Es dürfte sich jedoch um eine einzelne Gruppierung handeln, deren Mitglieder sehr wahrscheinlich russisch sprechen.

Red October wurde die Schadsoftware getauft, die auf verseuchten Rechnern offenbar über Jahre hinweg Terabytes an vertraulichen und eventuell politisch brisanten Daten nach draußen schaffen konnte. Unter anderem hatte es Red October abgesehen auf Dateien mit den Endungen doc, odt, docx, rtf, pdf, xls, key, cer, pgp, xia, acidcsa oder aciddsk. Die beiden letztgenannten deuten auf die Software Acid Cryptofiler hin, die unter anderem von der EU und der Nato verwendet wird.

Ferngesteuert wurden die Schädlinge über ein mehrstufiges, durchaus komplexes System aus "Command & Control"(C&C)-Servern. Zum Zeitpunkt der Veröffentlichung der Kaspersky-Analyse am 14. Januar waren die Server noch aktiv, zwei Tage später dann jedoch abgeschaltet. Ein großer Teil der C&C-Infrastruktur wurde bei einem deutschen Hoster betrieben.

Eingeschleust wurde Red October laut Kaspersky durch den Missbrauch dreier Schwachstellen in Microsoft Word und Excel beziehungsweise Office. Bösartig modifizierte Dokumente wurden per E-Mail an die Opfer gesandt. Durch das Öffnen der Dokumente wurde der Schädling aktiv, der die Schwachstellen ausnutzte und Red October installierte. Laut Kaspersky wurden die betreffenden Schadroutinen bereits zuvor in anderen Angriffen verwendet.

Kaspersky zufolge wurden nicht nur PCs angezapft. Vielmehr wurden durch Red October auch Daten geklaut von Smartphones (iPhone, Nokia, Windows Mobile), Netzwerkausrüstung (Cisco) oder portablen Datenträgern von letzteren konnten die Angreifer mittels einer eigenen Rettungsfunktion sogar bereits gelöschte Dateien wieder herstellen. Die Module zur Infektion der Smartphones oder Netzwerkhardware wurden durch die C&C-Infrastruktur nach der ursprünglichen Installation von Red October auf die verseuchten PCs geschickt. Diese Module sind es, die den Red October zu einem besonderen, außergewöhnlich komplexen Schädling machen, dessen Funktionsumfang weit über den von herkömmlichen Digitaldatendieben hinausgeht.

Nicht jeder Sicherheitsexperte zeigt sich jedoch beeindruckt: "Dass Red October fünf Jahre lang unentdeckt geblieben ist, wundert uns nicht. Selbst modernste Sicherheitssysteme können unbemerkt umgangen werden. Schon 2010 haben wir eine Methode entdeckt, die Angreifern beinahe unbegrenzte Möglichkeiten bietet", sagt Torsten Jüngling, Countrymanager Deutschland beim Sicherheitsanbieter Stonesoft.

Microsoft schreibt in einem Blog-Beitrag, dass es für die betreffenden Lücken zum Zeitpunkt der Infektionen sehr wahrscheinlich bereits Sicherheitsupdates gab. Stimmen die Zeitangaben von Kaspersky, standen teilweise bereits seit mehreren Monaten entsprechende Software-
flicken bereit. Warum diese Updates innerhalb der betroffenen Organisationen nicht installiert wurden, ist nicht bekannt.

Die Sicherheitsspezialisten von F-Secure zeigen sich wenig überrascht von der Art des Angriffs. In einem Blog-Beitrag schreiben sie, dass sie monatlich Tausende von Dokumenten aufspüren, die ähnlich bösartig präpariert sind wie die im Rahmen vom Red October verwendeten. Obwohl die lange Zeitspanne der unentdeckten Infektion außergewöhnlich ist, sei es der Angriff an sich nicht. Ständig sähen sich Unternehmen und Regierungsorganisationen ähnlichen Attacken wie denen von Red October ausgesetzt. ULI RIES