Entdeckt

Hacker-Initiative spioniert seit 5 Jahren umfangreich Daten aus

Spionage-Angriff "Operation Roter Oktober" begann 2007 und dauert an
AAA

Hacker-Kampagne spioniert seit 5 Jahren umfangreich Daten aus"Operation Roter Oktober" sammelt Daten seit 2007 Sicher­heits­experten haben einen groß angelegten Spionage-Angriff über das Internet auf diplomatische Vertretungen, Regierungs­organi­sationen und Forschungs­institute in verschiedenen Ländern entdeckt. Betroffen waren vor allem Einrichtungen in Osteuropa sowie in Zentral­asien. Seit mehreren Jahren seien Computer und Netzwerke der Organi­sationen systematisch nach hoch­sensiblen Dokumenten mit vertraulichen geopoli­tischen Inhalten durchsucht worden, teilte der russische Antivirus-Spezialist Kaspersky Lab heute mit.

Weiterhin wurden Zugänge zu gesicherten Computer­systemen ausspioniert sowie Daten aus persönlichen mobilen Geräten und von Netzwerk-Komponenten gesammelt. An der Aufklärung der Aktion waren Experten der offiziellen Computer Emergency Response Teams (CERT) in Weißrussland, Rumänien und den USA beteiligt.

Wer die Angreifer sind, konnte Kaspersky nicht ermitteln. Aber Kaspersky geht nach einer Analyse der Schad­software davon aus, dass die Angreifer eine russisch-sprachige Herkunft haben. "Das heißt aber nicht, dass staatliche Stellen in Russland die Spionage-Aktion in Auftrag gegeben haben, denn russisch-sprachige Programmierer gibt es in vielen Ländern", sagte Kalkuhl.

Die Cyber­spionage-Aktion "Operation Roter Oktober", kurz "Rocra" genannt, sei im vergangenen Oktober entdeckt worden, sagte Kaspersky-Viren­analyst Magnus Kalkuhl der Nach­richten­agentur dpa. "Wir gehen jedoch davon aus, dass die Aktion schon im Jahr 2007 begonnen hat." Zudem sei sie zum jetzigen Stand (Januar 2013) immer noch aktiv. Außer Botschaften und Regierungs­organi­sationen seien vor allem Forschungs­institute, Energie- und Atomkonzerne, Handels­organi­sationen und Einrichtungen der Luft- und Raumfahrt betroffen gewesen.

Schwachstellen in Word, Excel und Adobe

Die Angreifer nutzen nach Angaben von Kaspersky Schwachstellen in den Microsoft-Programmen Word und Excel aus. Für die gibt es zwar bereits Sicherheits­aktuali­sierungen, aber viele Anwender haben diese noch nicht installiert. Dabei schickten die Angreifer mit maßge­schneiderten Dropper-Trojanern infizierte E-Mails an ihre Opfer, um die Schwachstellen der Programme auszunutzen. Der Dropper soll dabei während seiner Ausführung die verwendete System-Codepage kurzfristig auf "1251" gesetzt haben, womit während einer Programm­ausführung die Anzeige kyrillischer Schrift­zeichen ermöglicht wird.

Weitere Werkzeuge der Online-Spione seien bösartige Erweiterungen für den Acrobat Reader von Adobe sowie Microsoft Office, mit denen auf den befallenen Rechnern Programme ausgeführt werden können. Auf diesem Weg erhalten die Angreifer auch dann einen Zugriff auf das Zielsystem, wenn der eigentliche Kern der Schad­software bereits entdeckt und entfernt oder das System mit einem Sicher­heits­update gesichert wurde.

Die Online-Spione haben es vor allem auf Dateien mit der Endung ".acid" abgesehen, die von der Software "Acid Cryptofiler" erzeugt werden. Dieses Verschlüsselungs­programm wird nach Angaben von Kaspersky von verschiedenen öffent­lichen Einrichtungen genutzt, unter ihnen der Europäischen Union und der NATO.

Kontrolliert wurden die Angriffe von mehr als 60 Servern, die vor allem aus Deutschland und Russland stammten. Diese Infrastruktur in der ersten Reihe der "Command-and-Control-Server" dient auch dazu, die Identität des eigentlichen Kontroll­systems zu verbergen.

Mehr zum Thema Hacker-Angriff