"Roter Oktober": Grosser Cyberspionagering entdeckt

15. Januar 2013, 15:55
  • security
  • kaspersky
image

Behörden und Organisationen weltweit betroffen, auch in der Schweiz.

Behörden und Organisationen weltweit betroffen, auch in der Schweiz.
Der Security-Spezialist Kaspersky Labs hat gestern seine Erkenntnisse über einen der bisher grössten entdeckten Cyberspionageringe publik gemacht. Die von Kaspersky in den letzten drei Monaten unter dem Codenamen "Roter Oktober" durchgeführte Untersuchung ergab, dass es dem Spionagering gelungen ist, Computer von Regierungen und anderen Organisationen auf der ganzen Welt - auch in der Schweiz - mit ihrer Spyware zu infizieren. Dabei seien wahrscheinlich Terabytes an Daten in die Hände der Angreifer glelangt.
Daten aus PCs, Netzwerken und Smartphones
Die Aktivitäten in diesem Cyberspionagenetzwerk reichen laut Kaspersky mindestens bis ins Jahr 2007 zurück, und sie dauern immer noch an. Aufgrund von Merkmalen in der verwendeten Malware vermutet Kaspersky, dass die Urheber aus dem russischsprachigen Raum stammen. Die Malware, so Kaspersky, weise eine charakteristische Architektur auf. Sie besteht aus einer Basis-Malware und diversen Zusatzmodulen, die erst nach der Erstinfektion auf die betroffenen Rechner geladen wurden. Der Hauptzweck der Module sei das Sammeln von Daten, auch aus diversen verschlüsselten Systemen wie dem von der EU und der Nato verwendeten Kryptografie-System "Acid Cryptofiler". Die Malware lädt zudem auch Zusatzmodule zur Infektion von iPhones sowie Android- und Windows-Mobile-Smartphones herunter. Die Erstinfektion erfolgt laut Kaspersky über E-Mails mit manipulierten Attachments.
"Command & Control"-Server noch unbekannt
Gesammelte Daten werden von der Malware wiederum selbst verschlüsselt und dann an die Server des Spionagerings verschickt. Das Servernetzwerk besteht aus mehreren Stufen. Kaspersky konnte einige Proxy-Server identifizieren und lokalisieren, an welche die Daten zuerst geschickt wurden. Diese Proxys schicken ihre Daten wiederum an einige "Mothership"-Server weiter, die aber laut Kaspersky wahrscheinlich auch nur Proxys sind. Die eigentlichen "Command & Control"-Server konnte Kaspersky jedoch nicht entdecken.
In Laufe der Jahre meldeten die Hintermänner diverse Domains an, über welche die Spyware auf infizierten Computern mit diesem Netzwerk von Servern kommuniziert. Einige dieser Domains wurden nicht verlängert, und konnten deshalb vom Kaspersky-Security-Team selbst neu angemeldet werden. So gelang es dem Team, von infizierten Computern geschickte Daten abzufangen und dadurch auch einige Erkenntnisse über die Opfer zu gewinnen.
Bei den Opfern, die Kaspersky identifizeren konnte, handelt es sich vor allem um Botschaften in vielen Ländern, darunter auch der Schweiz. Betroffen sind daneben auch andere Behörden sowie militärische und wissenschaftliche Einrichtungen. Viele der Opfer bleiben aber auch unerkannt. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Darkweb-Salärstudie: Das sind die Löhne der Cyberkriminellen

Für gefragte Malware-Entwickler gibt es Top-Löhne. Das Durchschnittsgehalt ist aber vergleichsweise bescheiden.

publiziert am 1.2.2023
image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023