Spionage-Software Jagd auf »Roter Oktober«

Kaspersky meldet den nächsten großangelegten Angriff auf Rechner von Regierungsorganisationen, Energiesektor und Forschungseinrichtungen. Die »Operation Red October« begann vor etwa fünf Jahren und betrifft vorwiegend Einrichtungen in Osteuropa und Zentralasien betroffen.

Im Kaspersky-Blog SecureList besprechen Sicherheitsexperten gerade den nächsten bekannt gewordenen Cyper-Angriff. Die Operation wurde als »Rocra«, kurz für »Red October« identifiziert.

Seit mindestens fünf Jahren infiltriert die als »Roter Oktober« bezeichnete Spionage-Software u.a. Rechner in Regierungsorganisationen, Forschungseinrichtungen, Militär und im Energiesektor. Die Spezialisten von Kaspersky Lab analysieren die Malware bereits seit einigen Monaten und haben als Hauptziel Osteuropa und Zentralasien ausgemacht. Doch auch Rechner in Westeuropa und Nordamerika sind betroffen. Die Schadsoftware sammelt sensible Daten, darunter Dokumente mit vertraulichen geopolitischen Inhalten, und schickt diese weiter. In der Komplexität kann »Rocra« es mit »Flame« aufnehmen, einer Spionagesoftware, die im letzten Jahr bekannt wurde und zudem mit »Stuxnet« in Verbindung gebracht werden konnte.

Bilder: 5

Cyber-Angriff »Operation Red October«

Kaspersky hat eine neue Schadsoftware entdeckt. Der Angriff läuft unter »Operation Red October«

So funktioniert »Rocra«

Bisher haben die Spezialisten von Kaspersky herausgefunden, dass die Angreifen in den letzten fünf Jahren vor allem diplomatische Einrichtungen und Regierungsorganisationen überall auf der Welt im Fokus hatten. Rocra hat eine einzigartige modulare Architektur aus schädlichen Erweiterungen, Modulen zum Datendiebstahl und sogenannten Backdoo-Trojanern. Die gewonnen Informationen aus den bereits infizierten Netzwerken wurden für nachfolgende Attacken genutzt, z.B. Passwörter und Netzwerklegitimationen.

Die gestohlen Dokumenten haben etwa 34 Dateiendungen. Dokumenten mit Endungen, die mit ‚acid‘ beginnen, deuten auf eine geschützte Software mit dem Namen Acid Cryptofiler hin, die von verschiedenen öffentlichen Einrichtungen genutzt wird, darunter die NATO und die EU.

Um das Netzwerk der infizierten Geräte zu kontrollieren, nutzten die Angreifer eine C&C-Infrastruktur mit über 60 Domains und mehreren Servern in verschiedenen Ländern, darunter vorwiegend Deutschland und Russland. Letzten Endes dienten diese als Proxy-Server. Neben Arbeitsstationen nahmen die Angreifer auch andere Systeme wie Smartphones von Apple, Nokia und Windows-Phones sowie die Netzwerkinfrastruktur von Cisco ins Visier. Sie nutzten Sicherheitslücken wie CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) und CVE-2012-0158 (MS Word). Auch gelöschte Dateien von Wechseldatenträgern werden von Rocra gesammelt.

Infiziert wurden die Rechner über sogenannte Dropper-Trojaner: Sie verschicken zielgerichtete Spear-Phishing-Emails, in einem Fall eine Anzeige für ein Auto. Die Emails enthielten also speziell erstellte Exploits, die die oben genannten Sicherheitslücken von MS Office ausnutzten. Erstellt wurden die Exploits ursprünglich von anderen Angreifern, die es u.a. Militärische Ziele und den Energiesektor abgesehen hatten. Die eingebettete ausführende Datei wurde mit einem eigenen Code versehen. Interessant dabei: Der Dropper setzte während der Ausführung die verwendete System-Codepage kurzzeitig auf 1251 – das ermöglichte während der Programmausführung die Anzeige kyrillischer Schriftzeichen.

Angriff aus Russland?

Zahlriche Spuren in den ausführenden Dateien und auch die Registrierungs-Daten der C&C-Server lässt auf einen Angreifer mit russisch-sprachiger Herkunft schließen. Außerdem waren die ausführenden Dateien bis zu der Entdeckung von Rocra unbekannt und wurden auch von den Spezialisten von Kaspersky Lab nicht bei Analysen vorangegangener Cyper-Angriffe entdeckt.