1666693

"Operation Roter Oktober"-Hacker spionieren Regierungen aus

14.01.2013 | 16:24 Uhr |

Wenn sich "Operation Roter Oktober" erst einmal festgesetzt hat, kann die Malware nicht mehr so schnell entfernt werden. Auch Smartphones und Router gehören zum Ziel der Hacker.

Kaspersky will einen Cyberspionage-Fall aufgedeckt haben, der sich seit mindestens fünf Jahren gegen diplomatische Einrichtungen, Regierungsorganisationen und Forschungsinstitute richtet. Zwar seien vor allem Länder in Osteuropa sowie in Zentralasien betroffen, doch die Angriffe sollen sich auch gegen Mitteleuropa und Nordamerika richten. Gezielt würden dabei sensible Dokumente mit geopolitischen Inhalten gesammelt werden.

Hinter den Aktivitäten soll ein großangelegtes Cyberspionage-Netzwerk stecken: Die „Operation Roter Oktober“, kurz „Rocra“, soll immer noch aktiv sein. Die Angreifer hätten laut Kaspersky dazu eine eigene Malware namens „Rocra“ entwickelt. Mit ihrer Hilfe sollen die Angreifer sich Informationen aus infizierten Netzwerken geholt haben, um sich Zugang zu weiteren Systemen zu verschaffen. So seien zum Beispiel gestohlene Anmeldedaten in Listen gesammelt und immer dann genutzt worden, wenn die Angreifer Zugriff auf Passwörter für den Zugang zu weiteren Systemen benötigten.

Deutschland soll Teil der Infrastruktur sein

Um das Netzwerk der infizierten Rechner zu kontrollieren, haben die Angreifer mehr als 60 Domains und nutzen diverse Standorte für ihre Server in verschiedenen Ländern, sagt Kaspersky. Vor allem Deutschland und Russland sollen als Standorte dienen. Die Analyse der Command-and-Control-Infrastruktur (C&C) durch Kaspersky zeige, dass die Server nur als vorgeschaltete Proxy-Server dienen, um die Identität des eigentlichen Kontrollsystems zu verbergen.

Wie konnten sich die Opfer mit der Schadsoftware infizieren?

Die Infektion mit der Schadsoftware soll über maßgeschneiderte Dropper-Trojaner erfolgt sein. Den hätten die Angreifer an ihre Opfer in Form von zielgerichteten Spear-Phishing-E-Mails verschickt. Die Mails nutzten Schwachstellen von Microsoft Office und Excel aus, um auf das System der Opfer zu gelangen. Interessant ist, dass der Dropper während seiner Ausführung die verwendete System-Codepage kurzfristig auf „1251“ setzt, womit während einer Programmausführung die Anzeige kyrillischer Schriftzeichen ermöglicht wird, berichtet Kaspersky.

So arbeitet Rocra

Fies: Ein „Wiederbelebungs“-Modul soll den Angreifern jederzeit die Kontrolle über einmal infizierte Systeme zurückgeben. Das Modul verstecke sich als Plugin bei Installationen von Adobe Reader und Microsoft Office. Mit dem Plugin könnten die Angreifer durch Zusendung einer präparierten Datei – die mit dem Adobe Reader oder Microsoft Office geöffnet werden muss – jederzeit wieder Zugriff auf das Zielsystem erlangen. Sogar wenn der eigentliche Kern der Schadsoftware bereits entdeckt und entfernt oder das System gepatched wurde.

Rocra soll es auch auf Dateien diverser Kryptografie-Systeme abgesehen haben, wie zum Beispiel von „Acid Cryptofiler“. NATO und EU sowie das Europäische Parlament und die Europäischen Kommission setzen das Programm ein, um sensible Daten zu schützen.

Auch Smartphones stehen auf der Ziel-Liste. Ebenso Router und Switches, um ins Unternehmen-Netzwerk zu gelangen. Nicht zuletzt haben es die Hacker auf gelöschte Dateien von Wechseldatenträgern abgesehen, berichtet Kaspersky.

Wer sind die Hacker?

Viel ist es noch nicht, was über die Angreifer bekannt ist. Die Registrierungs-Daten der C&C-Server, vor allem aber Spuren in den ausführbaren Dateien der Malware deuten laut Kaspersky aber darauf hin, dass die Angreifer eine russisch-sprachige Herkunft haben. Kaspersky will die Untersuchungen nun gemeinsam mit internationalen Organisationen, Vollzugsbehörden und den Computer Emergency Response Teams (CERTs) fortführen.
 

0 Kommentare zu diesem Artikel
1666693