Seit fünf Jahren zielt eine Cyberspionage-Attacke auf Diplomaten sowie Regierungs- und Forschungsorganisationen in Staaten der ehemaligen Sowjetunion ab. Aufgedeckt wurde die Attacke von dem russischen Anti-Virus-Unternehmen Kaspersky Lab.

Roter Oktober Kaspersky Lab

Die in Moskau ansässige Firma machte am Montag eine Serie von Cyber-Attacken öffentlich, die bis zum Jahr 2007 zurückreichen. Eine anonyme Quelle hatte Kaspersky den Tipp gegeben. Die Spionage wurde durch eine Schadsoftware namens „Roter Oktober" beziehungsweise „Rocra" durchgeführt. Sie ist darauf ausgelegt, verschlüsselte Dateien und herkömmliche Office-Dokumente zu kopieren.

Hauptzweck der Geheimoperation scheint das Sammeln von als geheim eingestuften Informationen und geopolitischen Geheimdienstberichten zu sein, schreibt Kaspersky in seinem Bericht. Währen der vergangenen fünf Jahre sammelte die Software Informationen von hunderten Opfern.

300 ausgewählte Ziele

Vitaly Kamluk, oberster Schadsoftware-Experte bei Kaspersky, erklärte, dass die Angreifer ihre Ziele mit Bedacht gewählt haben. „Wir wissen von 300 infizierten Computern", sagte er – darunter PCs in Botschaften, staatlichen Forschungseinrichtungen und Luft- und Raumfahrtzentren.

Es ist nicht bekannt, ob sich hinter den Angriffen ein oder mehrere Staaten verbergen. Doch Kamluk sagte, dass es angesichts der Komplexität und Raffinesse von Rocra unwahrscheinlich sei, dass die Software das Werk gewöhnlicher Cyberkrimineller ist.

Die größte Anzahl der Attacken fand in Russland statt. Kaspersky berichtet von 35 aufgedeckten Infizierungen dort. Kasachstan folgt mit 21, dann Aserbaidschan mit 15 und Armenien mit zehn. Zudem gab es in der Region noch sieben infizierte Rechner in Turkmenistan und sechs in der Ukraine.

Ziele auch außerhalb der GUS-Staaten

Allerdings beschränken sind die Cyber-Attacken nicht auf ehemalige Mitgliedsstaaten der Sowjetunion. Sowohl in Belgien als auch Indien wurden 15 infizierte Rechner gefunden, in Iran und den USA stieß man auf jeweils sechs infizierte Rechner.

Kaspersky vermutet, dass Rocra durch rund 60 Kontroll-Server gesteuert wurde, die sich in Deutschland und Russland befanden. Es ist aber möglich, dass auch diese Server wiederum von einem „Mutterschiff" kontrolliert wurden, das sich an einem unbekannten Ort befindet.

Laut Kamluk wurden die Rechner infiziert, indem ein kleiner Teil der Schadsoftware an Dokumente in Microsofts Word- oder Excel-Format angehängt und per E-Mail verschickt wurde. Sobald das Dokument geöffnet wurde, infizierte die Schadsoftware den betreffenden Computer. Dadurch wurde ein Kommunikationskanal mit einem der rund 60 Kontroll-Server in Russland und Deutschland geöffnet. Über diesen wurden dann die restlichen benötigten Module der Spionagesoftware unbemerkt im Hintergrund nachgeladen und auf dem PC installiert.

Die verschiedenen Module nutzten dann Medien wie USB-Speichersticks und verschiedene Dateien, um sich weiterzuverbreiten. Andere Module hatten die Aufgabe, Informationen zu sammeln. Es gab auch Module mit der Aufgabe, Smartphones und andere im Unternehmensumfeld eingesetzte Geräte zu befallen. Einige davon suchten auch nach bereits gelöschten Dateien.

Kamluk sagte, dass nach den Zielen zu urteilen die Software vermutlich für die Spionage abgesicherter Netzwerke ausgelegt war. „Wir haben keine Indizien, dass sichere Netzwerke befallen wurden, fanden aber Module, welche den Inhalt von USB-Sticks auslasen", sagte er.

Abgesicherte Netzwerke, die dazu genutzt werden, geheime Informationen auszutauschen, sind nicht direkt mit dem Internet verbunden. Ein typischer Weg, in solche Netzwerke Schadsoftware einzuschleusen, geht über Wechseldatenträger wie USB-Sticks. „Wir haben keine Module gefunden, die das tun", sagte Kamluk. „Doch möglicherweise haben wir die nur übersehen."

Russische Texte als falsche Fährte?

Es gibt Hinweise darauf, dass die Autoren der Schadsoftware Russisch sprechen. Kamluk sagte, dass einige Module teilweise russische Sprache enthalten, darunter die russischen Worte für „Lesezeichen" oder „nicht definierte Funktion". Es sei möglich, dass solche Hinweise absichtlich im Quellcode der Software versteckt wurden, um eine falsche Fährte zu legen, die auf Russland als Ursprungsland der Software hinweist.

Der Bericht ist nicht durch unabhängige Organisationen bestätigt, doch Kaspersky ist ein international anerkanntes Anti-Viren-Unternehmen.

„Ich bin mir sicher, dass die technischen Details, die sie beschreiben, korrekt sind", sagte Graham Cluley, Experte beim britischen Kaspersky-Konkurrenten Sophos. „Es könnte aber viel Zeit beanspruchen, um einschätzen zu können, wie ernst die Attacke ist."

Kontakt zum Autor: redaktion@wallstreetjournal.de