• The Wall Street Journal

Schadprogramm „Roter Oktober" auf Spionagefeldzug im Osten

    Von BEN ROONEY

Seit fünf Jahren zielt eine Cyberspionage-Attacke auf Diplomaten sowie Regierungs- und Forschungsorganisationen in Staaten der ehemaligen Sowjetunion ab. Aufgedeckt wurde die Attacke von dem russischen Anti-Virus-Unternehmen Kaspersky Lab.

Kaspersky Lab

Roter Oktober

Die in Moskau ansässige Firma machte am Montag eine Serie von Cyber-Attacken öffentlich, die bis zum Jahr 2007 zurückreichen. Eine anonyme Quelle hatte Kaspersky den Tipp gegeben. Die Spionage wurde durch eine Schadsoftware namens „Roter Oktober" beziehungsweise „Rocra" durchgeführt. Sie ist darauf ausgelegt, verschlüsselte Dateien und herkömmliche Office-Dokumente zu kopieren.

Hauptzweck der Geheimoperation scheint das Sammeln von als geheim eingestuften Informationen und geopolitischen Geheimdienstberichten zu sein, schreibt Kaspersky in seinem Bericht. Währen der vergangenen fünf Jahre sammelte die Software Informationen von hunderten Opfern.

300 ausgewählte Ziele

Vitaly Kamluk, oberster Schadsoftware-Experte bei Kaspersky, erklärte, dass die Angreifer ihre Ziele mit Bedacht gewählt haben. „Wir wissen von 300 infizierten Computern", sagte er – darunter PCs in Botschaften, staatlichen Forschungseinrichtungen und Luft- und Raumfahrtzentren.

Es ist nicht bekannt, ob sich hinter den Angriffen ein oder mehrere Staaten verbergen. Doch Kamluk sagte, dass es angesichts der Komplexität und Raffinesse von Rocra unwahrscheinlich sei, dass die Software das Werk gewöhnlicher Cyberkrimineller ist.

Die größte Anzahl der Attacken fand in Russland statt. Kaspersky berichtet von 35 aufgedeckten Infizierungen dort. Kasachstan folgt mit 21, dann Aserbaidschan mit 15 und Armenien mit zehn. Zudem gab es in der Region noch sieben infizierte Rechner in Turkmenistan und sechs in der Ukraine.

Ziele auch außerhalb der GUS-Staaten

Allerdings beschränken sind die Cyber-Attacken nicht auf ehemalige Mitgliedsstaaten der Sowjetunion. Sowohl in Belgien als auch Indien wurden 15 infizierte Rechner gefunden, in Iran und den USA stieß man auf jeweils sechs infizierte Rechner.

Kaspersky vermutet, dass Rocra durch rund 60 Kontroll-Server gesteuert wurde, die sich in Deutschland und Russland befanden. Es ist aber möglich, dass auch diese Server wiederum von einem „Mutterschiff" kontrolliert wurden, das sich an einem unbekannten Ort befindet.

Laut Kamluk wurden die Rechner infiziert, indem ein kleiner Teil der Schadsoftware an Dokumente in Microsofts Word- oder Excel-Format angehängt und per E-Mail verschickt wurde. Sobald das Dokument geöffnet wurde, infizierte die Schadsoftware den betreffenden Computer. Dadurch wurde ein Kommunikationskanal mit einem der rund 60 Kontroll-Server in Russland und Deutschland geöffnet. Über diesen wurden dann die restlichen benötigten Module der Spionagesoftware unbemerkt im Hintergrund nachgeladen und auf dem PC installiert.

Die verschiedenen Module nutzten dann Medien wie USB-Speichersticks und verschiedene Dateien, um sich weiterzuverbreiten. Andere Module hatten die Aufgabe, Informationen zu sammeln. Es gab auch Module mit der Aufgabe, Smartphones und andere im Unternehmensumfeld eingesetzte Geräte zu befallen. Einige davon suchten auch nach bereits gelöschten Dateien.

Kamluk sagte, dass nach den Zielen zu urteilen die Software vermutlich für die Spionage abgesicherter Netzwerke ausgelegt war. „Wir haben keine Indizien, dass sichere Netzwerke befallen wurden, fanden aber Module, welche den Inhalt von USB-Sticks auslasen", sagte er.

Abgesicherte Netzwerke, die dazu genutzt werden, geheime Informationen auszutauschen, sind nicht direkt mit dem Internet verbunden. Ein typischer Weg, in solche Netzwerke Schadsoftware einzuschleusen, geht über Wechseldatenträger wie USB-Sticks. „Wir haben keine Module gefunden, die das tun", sagte Kamluk. „Doch möglicherweise haben wir die nur übersehen."

Russische Texte als falsche Fährte?

Es gibt Hinweise darauf, dass die Autoren der Schadsoftware Russisch sprechen. Kamluk sagte, dass einige Module teilweise russische Sprache enthalten, darunter die russischen Worte für „Lesezeichen" oder „nicht definierte Funktion". Es sei möglich, dass solche Hinweise absichtlich im Quellcode der Software versteckt wurden, um eine falsche Fährte zu legen, die auf Russland als Ursprungsland der Software hinweist.

Der Bericht ist nicht durch unabhängige Organisationen bestätigt, doch Kaspersky ist ein international anerkanntes Anti-Viren-Unternehmen.

„Ich bin mir sicher, dass die technischen Details, die sie beschreiben, korrekt sind", sagte Graham Cluley, Experte beim britischen Kaspersky-Konkurrenten Sophos. „Es könnte aber viel Zeit beanspruchen, um einschätzen zu können, wie ernst die Attacke ist."

Kontakt zum Autor: redaktion@wallstreetjournal.de

Copyright 2012 Dow Jones & Company, Inc. Alle Rechte vorbehalten

Dieses Textmaterial ist ausschließlich für Ihre private, nicht kommerzielle Nutzung. Die Verbreitung und die Nutzung dieses Materials unterliegt unserem Abonnentenvertrag und ist urheberrechtlich geschützt.

Haus der Woche

  • [image]

    Australische Villa im Zeichen des Drachens

    Feurig kommt dieses Luxusanwesen im australischen Melbourne daher: Auf dem Dach wacht ein mächtiger Terrakotta-Drache und im Haus lodern dutzende Kaminfeuer. Die Ausstattung mit Tennisplatz, Pool und ausgiebigen Ländereien lässt es jedem Australien-Fan warm ums Herz werden.

  • [image]

    Alt, neu, kurios und nicht chancenlos – Parteien zur Europawahl

    In Deutschland sind 25 Parteien zur Europawahl zugelassen. Neben den etablierten Bundestagsparteien können sich die Wähler für eine Menge kurioser Alternativen entscheiden – von der Christlichen Mitte bis zur Bayernpartei. Da die 3-Prozent-Hürde gefallen ist, haben die Kleinen sogar eine Chance.

  • [image]

    Die Welt in Bildern: 15. April

    Wilde Tulpen in Afghanistan, Wasserfontänen in China, der Vollmond über Schanghai und Ordensbrüder mit wunden Füßen in Spanien. Das und mehr zeigen unsere Fotos des Tages.

  • [image]

    Die furchterregendste Gondelfahrt der Welt

    Was Besuchern den Angstschweiß auf die Stirn treibt, ist für die Einwohner der georgischen Stadt Tschiatura Alltag. Die Seilbahnen aus der Stalin-Zeit an den Hängen des Kaukasus fahren trotz Rost noch immer.

  • [image]

    Diese Länder sind die Wachstums-Stars

    Die Weltwirtschaft gewinnt weiter an Schwung. Wachstums-Impulse kommen aus den Industrieländern, auch aus Europa. Die höchsten Wachstumsraten sitzen aber woanders. Wir zeigen Ihnen, wo die Wirtschaft am stärksten boomt.

  • [image]

    Wie sich die Nasdaq seit dem Tech-Crash verändert hat

    Vor gut 14 Jahren begann in den USA die Tech-Blase zu platzen. Jetzt bewegt sich der Nasdaq Composite wieder auf dem Niveau von damals. Ist das ein Grund zur Sorge? Wir zeigen, was sich seitdem an der Nasdaq verändert hat und was das für Anleger heute bedeutet.

  • [image]

    Die bestverdienenden Bankenchefs der Welt

    Das vergangene Jahr hat sich für die Chefs der internationalen Großbanken wieder gelohnt. Doch auch in der Liga der Großverdiener gibt es deutliche Klassenunterschiede. Wir haben aufgelistet, wer wie viel erhalten hat.