16.01.2013
Sicherheit
Trojaner "Roter Oktober" blieb fünf Jahre unentdeckt
Autor: Thorsten Eggeling
Das Sicherheitsunternehmen Kaspersky Lab berichtet von einer weltweiten Spionage-Kampagne namens "Red October". Bereits seit mindestens fünf Jahren werden weltweit Organisationen und Regierungsstellen ausspioniert.
Experten von Kaspersky Lab erhielten bereits im Oktober vergangenen Jahres Hinweise auf eine Spionage-Infrastruktur, die es gezielt auf sensible Daten in Netzwerken von diplomatischen, wissenschaftlichen oder Regierungs-Einrichtungen abgesehen hat. Nach eingehender Untersuchung hat das Sicherheitsunternehmen nun einen Forschungsbericht veröffentlicht. Demnach greift der auf den Namen "Red October" - abgekürzt "Rocra" - getaufte Schädling umfassend auf Daten von Computern, mobilen Geräten, E-Mail- und FTP-Server sowie Netzwerk-Hardware zu. Weltweit sollen über die Jahre Hunderte von Spitzeneinrichtungen damit infiziert worden sein.
Primäre Angriffsziele waren Organisationen aus osteuropäischen und zentralasiatischen Ländern und ehemaligen Sowjet-Republiken. Die höchste Zahl an Infektionen wiesen Russland, Kasachstan und Aserbaidschan auf. Aber auch Westeuropa und Nordamerika blieben nicht unbehelligt.
Sicherheitsforscher vergleichen "Red October" aufgrund seiner komplexen Kontroll-Infrastruktur mit dem Supertrojaner "Flame". Nach Analyse der Registrierungs-Daten der Kommando-Server und Domains ist die Spionage-Infrastruktur mindestens seit 2007 aktiv und bis jetzt im Einsatz. Die Server selbst befinden sich in verschiedenen Ländern, jedoch fand Kaspersky Lab die meisten davon in Deutschland und Russland. Viele Server dienen allerdings nur als Proxies, über die die Autoren des Schädlings die Ortung der wahren Kontroll-Server erschweren. Nach Auswertung der Registrierungs-Daten der Command-and-Control-Server (C&C) und der ausführbaren Dateien stammen die Autoren von "Red October" vermutlich aus dem russischen Sprachraum.
So funktioniert "Red October"
Die Sicherheitsexperten fanden mindestens drei verschiedene und bereits bekannte Exploits in Microsoft Excel- und Word-Dokumenten. Die Angriffe erfolgten über "Spear Phishing". Dabei versendeten die Angreifer individuell gestaltete E-Mails mit infizierten Anhängen. Öffnete eine Zielperson das Dokument, lud die Hauptkomponente des Schädlings weitere Module über die C&C-Server herunter.
Die Sicherheitsexperten fanden mindestens drei verschiedene und bereits bekannte Exploits in Microsoft Excel- und Word-Dokumenten. Die Angriffe erfolgten über "Spear Phishing". Dabei versendeten die Angreifer individuell gestaltete E-Mails mit infizierten Anhängen. Öffnete eine Zielperson das Dokument, lud die Hauptkomponente des Schädlings weitere Module über die C&C-Server herunter.
Für einen erfolgreichen Angriff nutzten die Täter verschiedene Sicherheitslücken, unter anderem in Word, Excel und dem Adobe Reader. Systematisch erstellte Listen ermöglichten Folge-Angriffe. Laut Bericht zielten die Angreifer hauptsächlich auf Dateien mit der Endung „.acid“ ab. Sie wird von der Software "Acid Cryptofiler" generiert und wird als Verschlüsselungsprogramm auch von der Europäischen Union und der Nato eingesetzt.
Die von "Red October" gesammelten Dateien sind nach Angaben von Kaspersky von höchster Wichtigkeit. Sie umfassen geopolitische Daten, die von Nationalstaaten genutzt werden können. Wer hinter der gefährlichen Spionagesoftware steckt, ist noch nicht bekannt.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>