Die Sicherheitsexperten der Kaspersky Labs haben offenbar einen massiven Fall von Cyberspionage aufgedeckt. Seit geschätzten fünf Jahren wurden dabei Rechnernetzwerke von diplomatischen Vertretungen, Regierungs- und Handelsorganisationen, Energie-Konzernen sowie Einrichtungen der Forschung, der Luftfahrt und des Militärs infiltriert, wie aus der am Montag veröffentlichten Analyse hervorgeht. Über eine ausgeklügelte Infrastruktur konnten die unbekannten Hacker vermutlich Terabyte an geopolitischen Information und Daten höchster Vertraulichkeit erbeuten.

Kaspersky gab an, Hinweise auf die als „Rocra“ beziehungsweise „Red October“ bezeichnete Spionage-Infrastruktur im Oktober vergangenen Jahres erhalten zu haben. Die folgenden Analysen hatten hunderte von Infektionen in Spitzeneinrichtungen weltweit ergeben. Betroffen von der umfassenden Spionage waren hauptsächlich Organisationen aus osteuropäischen und zentralasiatischen Ländern ebenso wie aus den ehemaligen Sowjet-Republiken, wobei Russland die höchste Zahl an Infektionen aufwies, gefolgt von Kasachstan und Aserbaidschan. Westeuropäische und Nordamerikanische Institutionen sollen nur im geringen Umfang ausspioniert worden sein.

Tarnvorrichtung: Die Struktur der Command-and-Control-Server verschleiert das "Mutterschiff". (Bild: Kaspersky)

Kaspersky zufolge ist der gesamte Aufbau von „Roter Oktober“ ähnlich komplex geschachtelt wie bei der Flame-Malware: Ihr Netzwerk aus infizierten Rechnern sollen die Hacker über mehr als 60 Domains und zahlreiche Server gesteuert haben, die in verschiedenen Ländern platziert sind, vorwiegend jedoch in Russland und Deutschland. Die Server sind dabei laut Kaspersky in einer Kette strukturiert, wobei den eigentlichen C&C-Servern Proxies vorgeschaltet sind, um damit die Lokalisierung des „Mutterschiffs“, also des zentralen C&C-Servers unmöglich zu machen. Registrierungsdaten für den Erwerb der C&C-Domains sowie weitere Hinweise deuten darauf, dass die Spionage-Angriffe seit mindestens Mai 2007 im Gange sind. Das System soll derzeit noch aktiv sein und Daten an die C&C-Server senden.

Ähnlich vielschichtig auch die Malware selbst: Insgesamt konnten die Experten mehr als 1000 Dateien identifizieren, die sich rund 30 verschiedenen Funktions-Modulen zuordnen lassen. Damit haben die Hacker offenbar tüchtig zulangen können: Neben Angriffen auf Workstations sollen die Malware-Module des Systems zum Datenraub von mobilen Geräten in der Lage sein ebenso wie zum Anzapfen wie Netzwerk-Komponenten und lokalen FTP-Servern. Auf Emails lässt damit sowohl lokal als auch über POP/IMAP-Servern zugreifen. Ferner konnten Dateien von USB-Speichermedien erbeutet werden, einschließlich gelöschter Daten, die „Roter Oktober“ offenbar über eine eigene Recovery-Prozedur wiederherstellen kann.

Die Infektion erfolgte vermutlich über verseuchte E-Mail-Anhänge wie diese. (Bild: Kaspersky)

Um die Infektionen einzuleiten, haben die Hacker offenbar "Spear Phishing" betrieben. Ausgewählten Opfern wurden E-Mails mit angehängten infizierten Dokumenten zugeschickt, wobei die Dokumente möglichst interessant für die jeweilige Zielperson gestaltet wurden. Nach erfolgter Infektion mit der Hauptkomponente der Malware wurden dann über die C&C-Server unbemerkt weitere Module heruntergeladen, zum Beispiel zur Infektion des Smartphones des Opfers. Unter anderem wurden zur Infektion Sicherheitslücken in MS Word, MS Excel und im Adobe Reader ausgenutzt. Aus infiltrierten Netzwerken erlangte Informationen wurden laut Kaspersky-Analyse zudem systematisch in Listen zusammengestellt und immer wieder für Folge-Angriffe genutzt.

Die Online-Spione hatten es wohl besonders auf Dateien mit der Endung „.acid“ abgesehen, die von der Software «Acid Cryptofiler» erzeugt werden. Dieses Verschlüsselungsprogramm wird Kaspersky zufolge unter anderem von der Europäischen Union und der Nato genutzt.

Die Macher der gewaltigen Spionage-Kampagne „Roter Oktober“ sind derzeit noch im Dunkeln. Das Kaspersky-Team schätzt die Wahrscheinlichkeit, das ein einzelner Staat die Cyberspionage finanziert habe, als gering ein. Bestimmte Hinweise wie etwa linguistische Eigenheiten im Code deuteten aber darauf hin, dass die Malware-Module von russischen Hackern entwickelt wurden. Der Analyse nach wurde das System komplett neu erstellt und bislang in keinem anderen bekannten Fall von Cyberspionage genutzt. (axk)