Globales Spionagenetzwerk enttarnt
Kaspersky bezwingt "Roter Oktober"
Russland, Europa, USA - jahrelang erbeutet ein weltweit agierendes
Spionagenetzwerk Informationen von Regierungen und sendet sie auch an
Server in Deutschland. Die Programmierer sprechen Russisch, da ist sich
das Sicherheitsunternehmen Kaspersky sicher. Nun fliegt das System auf.
Die Drahtzieher handeln blitzschnell.
Der Sicherheitsdienstleister Kaspersky hat ein globales Spionagenetzwerk
aufgedeckt. Nachdem das Unternehmen die Ergebnisse seiner Jagd auf die
technische Struktur veröffentlichte, zogen sich die Angreifer zurück.
Von den Cyber-Angriffen betroffen waren Kaspersky zufolge vor allem
Botschaften und Regierungseinrichtungen, aber auch wissenschaftliche
Forschungsinstitute und Militärorganisationen. Dazu gehören etwa
Desktop-Computer und Handys von Beschäftigten. Attackierte Fabrikate
waren iPhones, Nokia- sowie Windows-Mobile-Geräte. Ziel der
Spionagekampagne war, geopolitische Informationen der betroffenen
Nationen zu sammeln.
Seit 2007 im Einsatz
Etwa fünf Jahre lang soll das Spionagenetzwerk aktiv gewesen sein. Erst
im Oktober 2012 waren die Experten auf die weltweite Serie von
Hackerangriffen aufmerksam geworden. Rund drei Monate waren die
Mitarbeiter der Kaspersky Labs danach auf der Suche nach der
Arbeitsweise des vielleicht umfassendsten Cyber-Spionagenetzwerkes
überhaupt. Das russische Unternehmen Kaspersky ist auf Schadsoftware,
Viren, aller Art von Kriminalität und Grauzonen im digitalen Bereich
spezialisiert.
Spionage weltweit - der erste Teil des Codes kam per E-Mail.(Foto: dpa)
Warum das Sicherheitsunternehmen ihr Projekt zunächst im Verdeckten
durchführte, wird schnell klar: Bereits am Abend nach der
Veröffentlichung begannen die Angreifer, die Infrastruktur abzubauen.
"Zur gleichen Zeit wurden Server abgeschaltet und die Domain-Namen
gelöscht", zitiert TechWeekEurope Costin Raiu, einen leitenden
Sicherheitsexperten bei Kaspersky.
In ihrer detaillierten Analyse kommt das Sicherheitsunternehmen zum
Schluss, dass russischsprachige Programmierer das System in Code gossen.
Wohl auch deshalb nennt Kaspersky das Netzwerk "Roter Oktober",
angelehnt an Tom Clancys bekannten Roman "Jagd auf Roter Oktober". Eine
Beauftragung von staatlicher Seite schließen die Experten aus. Eine
Vermutung ist, dass die Informationen im Untergrund an Interessierte
verkauft werden.
Deutsche Botschaft betroffen
Im Fokus der Spionage standen offenbar Russland und osteuropäische
Staaten. Auch Deutschland ist auf der Liste der betroffenen Länder zu
finden, genauso wie die Vereinigten Staaten, Frankreich oder Italien. Im
Detail ist demnach eine deutsche Botschaft betroffen, ebenso eine
diplomatische Vertretung der USA. "Es gibt noch immer ein paar aktive
Server, aber die Infrastruktur funktioniert größtenteils nicht mehr",
sagte Raiu.
Um an das gewünschte Material heranzukommen, nutzten die Angreifer im
ersten Schritt eine gängige Methode: Sie verschickten auf die Zielperson
zugeschnittene E-Mails samt schädlicher Software im Anhang, etwa als
Word-, Excel- oder PDF-Datei. Öffnete die Person das Dokument,
aktivierte sich der Code; die Hintertür war damit offen. Die Angreifer
konnten nun jegliche gewünscht Komponente hinzufügen. Dabei konnte die
Schadsoftware eigenmächtig handeln und eine Verbindung aufbauen. Sogar
gelöschte Dateien von USB-Sticks wurden wiederhergestellt und
verschickt.
Gestohlen wurden den Angaben zufolge etwa auch Verschlüssungskomponenten
des "Acid Cryptofilter", die seit 2011 auch das EU-Parlament und die
EU-Kommission verwenden. Der Trojaner verschlüsselte die gesammelten
Informationen und versandte sie an einen der beteiligten Server. Über 60
soll es davon gegeben haben. Den Angaben zufolge standen die meisten
zurückverfolgten Maschinen bei einem deutschen Web-Provider.
Noch detaillierter soll ein zweiter Teil der Analyse sein, heißt es bei
Kaspersky. Die Sicherheitsexperten kündigten an, das Dokument demnächst
zu veröffentlichen.
Quelle: n-tv.de , rpe
