• The Wall Street Journal

Schadprogramm „Roter Oktober" auf Spionagefeldzug im Osten

    Von BEN ROONEY

Seit fünf Jahren zielt eine Cyberspionage-Attacke auf Diplomaten sowie Regierungs- und Forschungsorganisationen in Staaten der ehemaligen Sowjetunion ab. Aufgedeckt wurde die Attacke von dem russischen Anti-Virus-Unternehmen Kaspersky Lab.

Kaspersky Lab

Roter Oktober

Die in Moskau ansässige Firma machte am Montag eine Serie von Cyber-Attacken öffentlich, die bis zum Jahr 2007 zurückreichen. Eine anonyme Quelle hatte Kaspersky den Tipp gegeben. Die Spionage wurde durch eine Schadsoftware namens „Roter Oktober" beziehungsweise „Rocra" durchgeführt. Sie ist darauf ausgelegt, verschlüsselte Dateien und herkömmliche Office-Dokumente zu kopieren.

Hauptzweck der Geheimoperation scheint das Sammeln von als geheim eingestuften Informationen und geopolitischen Geheimdienstberichten zu sein, schreibt Kaspersky in seinem Bericht. Währen der vergangenen fünf Jahre sammelte die Software Informationen von hunderten Opfern.

300 ausgewählte Ziele

Vitaly Kamluk, oberster Schadsoftware-Experte bei Kaspersky, erklärte, dass die Angreifer ihre Ziele mit Bedacht gewählt haben. „Wir wissen von 300 infizierten Computern", sagte er – darunter PCs in Botschaften, staatlichen Forschungseinrichtungen und Luft- und Raumfahrtzentren.

Es ist nicht bekannt, ob sich hinter den Angriffen ein oder mehrere Staaten verbergen. Doch Kamluk sagte, dass es angesichts der Komplexität und Raffinesse von Rocra unwahrscheinlich sei, dass die Software das Werk gewöhnlicher Cyberkrimineller ist.

Die größte Anzahl der Attacken fand in Russland statt. Kaspersky berichtet von 35 aufgedeckten Infizierungen dort. Kasachstan folgt mit 21, dann Aserbaidschan mit 15 und Armenien mit zehn. Zudem gab es in der Region noch sieben infizierte Rechner in Turkmenistan und sechs in der Ukraine.

Ziele auch außerhalb der GUS-Staaten

Allerdings beschränken sind die Cyber-Attacken nicht auf ehemalige Mitgliedsstaaten der Sowjetunion. Sowohl in Belgien als auch Indien wurden 15 infizierte Rechner gefunden, in Iran und den USA stieß man auf jeweils sechs infizierte Rechner.

Kaspersky vermutet, dass Rocra durch rund 60 Kontroll-Server gesteuert wurde, die sich in Deutschland und Russland befanden. Es ist aber möglich, dass auch diese Server wiederum von einem „Mutterschiff" kontrolliert wurden, das sich an einem unbekannten Ort befindet.

Laut Kamluk wurden die Rechner infiziert, indem ein kleiner Teil der Schadsoftware an Dokumente in Microsofts Word- oder Excel-Format angehängt und per E-Mail verschickt wurde. Sobald das Dokument geöffnet wurde, infizierte die Schadsoftware den betreffenden Computer. Dadurch wurde ein Kommunikationskanal mit einem der rund 60 Kontroll-Server in Russland und Deutschland geöffnet. Über diesen wurden dann die restlichen benötigten Module der Spionagesoftware unbemerkt im Hintergrund nachgeladen und auf dem PC installiert.

Die verschiedenen Module nutzten dann Medien wie USB-Speichersticks und verschiedene Dateien, um sich weiterzuverbreiten. Andere Module hatten die Aufgabe, Informationen zu sammeln. Es gab auch Module mit der Aufgabe, Smartphones und andere im Unternehmensumfeld eingesetzte Geräte zu befallen. Einige davon suchten auch nach bereits gelöschten Dateien.

Kamluk sagte, dass nach den Zielen zu urteilen die Software vermutlich für die Spionage abgesicherter Netzwerke ausgelegt war. „Wir haben keine Indizien, dass sichere Netzwerke befallen wurden, fanden aber Module, welche den Inhalt von USB-Sticks auslasen", sagte er.

Abgesicherte Netzwerke, die dazu genutzt werden, geheime Informationen auszutauschen, sind nicht direkt mit dem Internet verbunden. Ein typischer Weg, in solche Netzwerke Schadsoftware einzuschleusen, geht über Wechseldatenträger wie USB-Sticks. „Wir haben keine Module gefunden, die das tun", sagte Kamluk. „Doch möglicherweise haben wir die nur übersehen."

Russische Texte als falsche Fährte?

Es gibt Hinweise darauf, dass die Autoren der Schadsoftware Russisch sprechen. Kamluk sagte, dass einige Module teilweise russische Sprache enthalten, darunter die russischen Worte für „Lesezeichen" oder „nicht definierte Funktion". Es sei möglich, dass solche Hinweise absichtlich im Quellcode der Software versteckt wurden, um eine falsche Fährte zu legen, die auf Russland als Ursprungsland der Software hinweist.

Der Bericht ist nicht durch unabhängige Organisationen bestätigt, doch Kaspersky ist ein international anerkanntes Anti-Viren-Unternehmen.

„Ich bin mir sicher, dass die technischen Details, die sie beschreiben, korrekt sind", sagte Graham Cluley, Experte beim britischen Kaspersky-Konkurrenten Sophos. „Es könnte aber viel Zeit beanspruchen, um einschätzen zu können, wie ernst die Attacke ist."

Kontakt zum Autor: redaktion@wallstreetjournal.de

Copyright 2012 Dow Jones & Company, Inc. Alle Rechte vorbehalten

Dieses Textmaterial ist ausschließlich für Ihre private, nicht kommerzielle Nutzung. Die Verbreitung und die Nutzung dieses Materials unterliegt unserem Abonnentenvertrag und ist urheberrechtlich geschützt.

Werbung

  • [image]

    Tiere – Die Geheimwaffe der Tech-Konzerne

    Viele Produkte von Tech-Firmen sind schwer verständlich für Laien. Die Unternehmen haben es darum oft nicht leicht, für sich zu werben. Etliche setzen auf Tiere, um ihre Marke bekannt zu machen. Wir stellen 30 von ihnen vor.

  • [image]

    Die Welt in Bildern: 31. Juli

    Wasser marsch: in Frankreich spielten Kinder am Donnerstag an Springbrunnen, in Deutschland strömten Urlauber ins Freibad und in Indien trotzten Anwohner einem Wolkenbruch. Das und mehr zeigen unsere Fotos des Tages.

  • [image]

    Die teuersten Hotelstädte Europas

    Paris, London, Berlin, Lissabon: Im Sommer locken Städte die Urlauber. Bei den Zimmerpreisen sind die Unterschiede groß. Wir zeigen, wo Touristen sich das Hotel leisten können - und in welchen Städten die saftigsten Preise fällig werden.

  • [image]

    Zu Besuch bei deutschen Start-ups

    Ständig wird über sie berichtet, ihre Dienste werden von Millionen genutzt: Deutsche Start-ups müssen sich vor der Konkurrenz aus den USA längst nicht mehr verstecken. Das zeigt auch ein Blick auf die Büros der jungen Firmen. Wir haben Onefootball, Eyeem, Wooga, Amorelie, Mymuesli, Researchgate und Outfittery in Berlin besucht.

  • [image]

    Die schlimmsten Stau-Städte der Welt

    Für alle deutschen Autofahrer im Stau gilt: Es geht noch schlimmer. Der Navigationsgeräte-Hersteller TomTom hat die Fahrzeiten in den Metropolen verglichen. Wir stellen die Stau-Hochburgen der Welt vor.

  • [image]

    Der neue Villen-Boom in Berlin

    „Arm, aber sexy" war gestern. Heute zeigt Berlin wieder Luxus. Besonders die Altbauvillen im Südwesten der Hauptstadt erleben derzeit eine neue Blütezeit.