Categories: Sicherheit

Kaspersky macht weitere Details zu Red October öffentlich

Costin G. Raiu, Leiter des Forschungs- und Analyseteams bei Kaspersky Labs, hat auf der CeBIT vor Journalisten weitere Details zur Malware Red October genannt. Sie späht vor allem Regierungseinrichtungen zahlreicher Länder aus. Über die Malware hatte Kaspersky Mitte Januar erstmals berichtet. Damals schon hatte nahegelegen, dass die Autoren russisch als Muttersprache sprechen.

Costin G. Raiu, Leiter des Forschungs- und Analyseteams bei Kaspersky Labs (Bild: Kaspersky Labs)

Außerdem war klar, dass die Autoren sehr gezielt vorgegangen sind: Ihre Software enthielt nämlich eine Nutzer-ID, was zeigt, dass sie für jedes Ziel separat kompiliert wurde. Kaspersky hatte auch darauf hingewiesen, dass der wesentliche Teil des Code nicht neu sei, sondern eine Weiterentwicklung einer chinesischen Malware, mit der zuvor Tibet-Aktivisten ausspioniert wurden.

Raiu gab nun zusätzlich preis, dass Kaspersky von einem Kunden aus Europa auf die Malware aufmerksam gemacht worden sei. Der größte Teil der Server, auf den Red October für seine Tätigkeit zurückgriff, stand in Deutschland und in Russland. In Deutschland hatten die Angreifer beim Hoster Hetzner etwa die Hälfte der 25 von ihnen verwendeten Server verdeckt angemietet.

Den Aufwand, den die Angreifer getrieben haben, zeigt auch, dass sie eine Zero-Day-Lücke im Adobe Reader ausgenutzt, 34 Angriffsmodule entwickelt und über 1000 Dateien erzeugt hatten, die sie als Trägermedium für die Malware benutzten. Dabei handelte es sich um vermeintliche Angebote für Gebrauchtwagen aus dem Bestand von Botschaften, ebenso wie um vorgebliche Positionspapiere zum NATO-Beitritt der Ukraine – je nachdem, welches Thema für den Empfänger am geeignetsten erschien.

Die Angreifer hinter Red October waren offenbar auch im Besitz von Schlüsseln des von Bundesbehörden benutzten Verschlüsselungswerkzeugs Chiasmus (Bild: ZDNet).

Da die Angreifer offenbar im Besitz der Schlüssel von Acid Cryptofiler, einem von NATO und EU-Behörden für die Verschlüsselung genutzten Tool, sowie des vom BSI entwickelten Verschlüsselungswerkzeugs Chiasmus waren, konnten sie sich auch Zugriff auf verschlüsselte Kommunikation von EU- und Bundesbehörden verschaffen.

Als weitere Hinweise auf die russische Herkunft der Angreifer präsentierte Raiu unter anderem Codeschnipsel, in denen russische Spezialausdrücke auftauchten sowie Ausschnitte aus dem Mailverkehr der Spione mit dem Registrar der von ihnen in Russland unter falschem Namen angemieteten Server. Um ihre Identität zu verschleiern, nutzten sie unter anderem Twitter: Die Malware postete dort unter mehreren Namen scheinbar harmlose Tweets mit kryptischen Links – die nur die Angreifer entschlüsseln konnten und mit deren Hilfe sie dann GIF-Dateien von Servern in Panama und der Türkei abholten.

Raiu stellte Red October in eine Reihe mit Aurora, Stuxnet, Duqu, Flame, Gauss und Shamoon. Er hält es für ein bedenkliches Zeichen, dass die Frequenz dieser Angriffe zunimmt: Während zwischen Aurora, Stuxnet und Duqu noch je ein Jahr lag, wurden 2012 mit Flame, Gauss und Shamoon bereits mehrere derartige Angriffe auf ausgewählte Ziele aufgedeckt – und 2013 liegen schon im März mit Red October und MiniDuqu zwei vor.

Als bedenklich bezeichnete Raiu gegenüber ZDNet die Tätigkeit von Firmen wie The Hacking Team in Italien, Vupen in Frankreich oder Gamma International in Deutschland, die auf Bestellung Viren für Geheimdienste und andere staatliche Organe erstellen. Offiziell beriefen sie sich darauf, nur an NATO-Länder zu verkaufen. Kaspersky habe entsprechende Software aber auch schon in anderen Ländern, etwa Turkmenistan und Bahrein gefunden. „Es ist eine große Gefahr, dass es keine Kontrolle gibt, wer diese Software kaufen kann“, erklärte Raiu.

Zu den Ländern, in denen Organsiationen oder Behörden Opfer von Red October wurden, gehören nach neuesten Erkenntnissen neben den in der Karte rot markierten auch Polen und Rumänien (Grafik: Kaspersky).
Peter Marwan

Für ZDNet veröffentlicht Peter immer wieder Beiträge zum Thema IT Business.

Recent Posts

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

17 Stunden ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

1 Tag ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

4 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

4 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

4 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

5 Tagen ago