• The Wall Street Journal

Schadprogramm „Roter Oktober" auf Spionagefeldzug im Osten

    Von BEN ROONEY

Seit fünf Jahren zielt eine Cyberspionage-Attacke auf Diplomaten sowie Regierungs- und Forschungsorganisationen in Staaten der ehemaligen Sowjetunion ab. Aufgedeckt wurde die Attacke von dem russischen Anti-Virus-Unternehmen Kaspersky Lab.

Kaspersky Lab

Roter Oktober

Die in Moskau ansässige Firma machte am Montag eine Serie von Cyber-Attacken öffentlich, die bis zum Jahr 2007 zurückreichen. Eine anonyme Quelle hatte Kaspersky den Tipp gegeben. Die Spionage wurde durch eine Schadsoftware namens „Roter Oktober" beziehungsweise „Rocra" durchgeführt. Sie ist darauf ausgelegt, verschlüsselte Dateien und herkömmliche Office-Dokumente zu kopieren.

Hauptzweck der Geheimoperation scheint das Sammeln von als geheim eingestuften Informationen und geopolitischen Geheimdienstberichten zu sein, schreibt Kaspersky in seinem Bericht. Währen der vergangenen fünf Jahre sammelte die Software Informationen von hunderten Opfern.

300 ausgewählte Ziele

Vitaly Kamluk, oberster Schadsoftware-Experte bei Kaspersky, erklärte, dass die Angreifer ihre Ziele mit Bedacht gewählt haben. „Wir wissen von 300 infizierten Computern", sagte er – darunter PCs in Botschaften, staatlichen Forschungseinrichtungen und Luft- und Raumfahrtzentren.

Es ist nicht bekannt, ob sich hinter den Angriffen ein oder mehrere Staaten verbergen. Doch Kamluk sagte, dass es angesichts der Komplexität und Raffinesse von Rocra unwahrscheinlich sei, dass die Software das Werk gewöhnlicher Cyberkrimineller ist.

Die größte Anzahl der Attacken fand in Russland statt. Kaspersky berichtet von 35 aufgedeckten Infizierungen dort. Kasachstan folgt mit 21, dann Aserbaidschan mit 15 und Armenien mit zehn. Zudem gab es in der Region noch sieben infizierte Rechner in Turkmenistan und sechs in der Ukraine.

Ziele auch außerhalb der GUS-Staaten

Allerdings beschränken sind die Cyber-Attacken nicht auf ehemalige Mitgliedsstaaten der Sowjetunion. Sowohl in Belgien als auch Indien wurden 15 infizierte Rechner gefunden, in Iran und den USA stieß man auf jeweils sechs infizierte Rechner.

Kaspersky vermutet, dass Rocra durch rund 60 Kontroll-Server gesteuert wurde, die sich in Deutschland und Russland befanden. Es ist aber möglich, dass auch diese Server wiederum von einem „Mutterschiff" kontrolliert wurden, das sich an einem unbekannten Ort befindet.

Laut Kamluk wurden die Rechner infiziert, indem ein kleiner Teil der Schadsoftware an Dokumente in Microsofts Word- oder Excel-Format angehängt und per E-Mail verschickt wurde. Sobald das Dokument geöffnet wurde, infizierte die Schadsoftware den betreffenden Computer. Dadurch wurde ein Kommunikationskanal mit einem der rund 60 Kontroll-Server in Russland und Deutschland geöffnet. Über diesen wurden dann die restlichen benötigten Module der Spionagesoftware unbemerkt im Hintergrund nachgeladen und auf dem PC installiert.

Die verschiedenen Module nutzten dann Medien wie USB-Speichersticks und verschiedene Dateien, um sich weiterzuverbreiten. Andere Module hatten die Aufgabe, Informationen zu sammeln. Es gab auch Module mit der Aufgabe, Smartphones und andere im Unternehmensumfeld eingesetzte Geräte zu befallen. Einige davon suchten auch nach bereits gelöschten Dateien.

Kamluk sagte, dass nach den Zielen zu urteilen die Software vermutlich für die Spionage abgesicherter Netzwerke ausgelegt war. „Wir haben keine Indizien, dass sichere Netzwerke befallen wurden, fanden aber Module, welche den Inhalt von USB-Sticks auslasen", sagte er.

Abgesicherte Netzwerke, die dazu genutzt werden, geheime Informationen auszutauschen, sind nicht direkt mit dem Internet verbunden. Ein typischer Weg, in solche Netzwerke Schadsoftware einzuschleusen, geht über Wechseldatenträger wie USB-Sticks. „Wir haben keine Module gefunden, die das tun", sagte Kamluk. „Doch möglicherweise haben wir die nur übersehen."

Russische Texte als falsche Fährte?

Es gibt Hinweise darauf, dass die Autoren der Schadsoftware Russisch sprechen. Kamluk sagte, dass einige Module teilweise russische Sprache enthalten, darunter die russischen Worte für „Lesezeichen" oder „nicht definierte Funktion". Es sei möglich, dass solche Hinweise absichtlich im Quellcode der Software versteckt wurden, um eine falsche Fährte zu legen, die auf Russland als Ursprungsland der Software hinweist.

Der Bericht ist nicht durch unabhängige Organisationen bestätigt, doch Kaspersky ist ein international anerkanntes Anti-Viren-Unternehmen.

„Ich bin mir sicher, dass die technischen Details, die sie beschreiben, korrekt sind", sagte Graham Cluley, Experte beim britischen Kaspersky-Konkurrenten Sophos. „Es könnte aber viel Zeit beanspruchen, um einschätzen zu können, wie ernst die Attacke ist."

Kontakt zum Autor: redaktion@wallstreetjournal.de

Copyright 2012 Dow Jones & Company, Inc. Alle Rechte vorbehalten

Dieses Textmaterial ist ausschließlich für Ihre private, nicht kommerzielle Nutzung. Die Verbreitung und die Nutzung dieses Materials unterliegt unserem Abonnentenvertrag und ist urheberrechtlich geschützt.

Haus der Woche

  • [image]

    Hippe Box aus Licht und Glas in Venice Beach

    Ein Haus aus Licht und Glas, nur einen Steinwurf von dem bunten Treiben auf der Promenade von Venice Beach entfernt, ist unser Haus der Woche. Von der Couch aus blickt man hier direkt in den blauen Himmel über dem Strand bei Los Angeles.

  • [image]

    Die Welt in Bildern: 10. April

    Eine Ostereier-Färbe-Maschine in Nordrhein-Westfalen, frisch gezimmerte Särge in Wien, gewalttätige Polizisten in den USA und Papp-Wahlkandidaten in Indien. Das und mehr sehen Sie in unseren Fotos des Tages.

  • [image]

    Diese Länder sind die Wachstums-Stars

    Die Weltwirtschaft gewinnt weiter an Schwung. Wachstums-Impulse kommen aus den Industrieländern, auch aus Europa. Die höchsten Wachstumsraten sitzen aber woanders. Wir zeigen Ihnen, wo die Wirtschaft am stärksten boomt.

  • [image]

    Wie sich die Nasdaq seit dem Tech-Crash verändert hat

    Vor gut 14 Jahren begann in den USA die Tech-Blase zu platzen. Jetzt bewegt sich der Nasdaq Composite wieder auf dem Niveau von damals. Ist das ein Grund zur Sorge? Wir zeigen, was sich seitdem an der Nasdaq verändert hat und was das für Anleger heute bedeutet.

  • [image]

    Die bestverdienenden Bankenchefs der Welt

    Das vergangene Jahr hat sich für die Chefs der internationalen Großbanken wieder gelohnt. Doch auch in der Liga der Großverdiener gibt es deutliche Klassenunterschiede. Wir haben aufgelistet, wer wie viel erhalten hat.

  • [image]

    Die besten deutschen Aktien –
    und die größten Verlierer

    Die große Rally scheint es in diesem Jahr an den Aktienmärkten nicht zu geben. Der Dax etwa notiert nach den ersten drei Monaten 2014 nur wenig verändert. Umso wichtiger ist es deshalb, die richtigen Aktien herauszupicken. Wir zeigen die größten Gewinner und Verlierer aus Deutschland.