Kaspersky macht weitere Details zu Red October öffentlich

Costin G. Raiu, Leiter des Forschungs- und Analyseteams bei Kaspersky Labs, hat auf der CeBIT vor Journalisten weitere Details zur Malware Red October genannt. Sie späht vor allem Regierungseinrichtungen zahlreicher Länder aus. Über die Malware hatte Kaspersky Mitte Januar erstmals berichtet. Damals schon hatte nahegelegen, dass die Autoren russisch als Muttersprache sprechen.

Außerdem war klar, dass die Autoren sehr gezielt vorgegangen sind: Ihre Software enthielt nämlich eine Nutzer-ID, was zeigt, dass sie für jedes Ziel separat kompiliert wurde. Kaspersky hatte auch darauf hingewiesen, dass der wesentliche Teil des Code nicht neu sei, sondern eine Weiterentwicklung einer chinesischen Malware, mit der zuvor Tibet-Aktivisten ausspioniert wurden.

Raiu gab nun zusätzlich preis, dass Kaspersky von einem Kunden aus Europa auf die Malware aufmerksam gemacht worden sei. Der größte Teil der Server, auf den Red October für seine Tätigkeit zurückgriff, stand in Deutschland und in Russland. In Deutschland hatten die Angreifer beim Hoster Hetzner etwa die Hälfte der 25 von ihnen verwendeten Server verdeckt angemietet.

Den Aufwand, den die Angreifer getrieben haben, zeigt auch, dass sie eine Zero-Day-Lücke im Adobe Reader ausgenutzt, 34 Angriffsmodule entwickelt und über 1000 Dateien erzeugt hatten, die sie als Trägermedium für die Malware benutzten. Dabei handelte es sich um vermeintliche Angebote für Gebrauchtwagen aus dem Bestand von Botschaften, ebenso wie um vorgebliche Positionspapiere zum NATO-Beitritt der Ukraine – je nachdem, welches Thema für den Empfänger am geeignetsten erschien.

Da die Angreifer offenbar im Besitz der Schlüssel von Acid Cryptofiler, einem von NATO und EU-Behörden für die Verschlüsselung genutzten Tool, sowie des vom BSI entwickelten Verschlüsselungswerkzeugs Chiasmus waren, konnten sie sich auch Zugriff auf verschlüsselte Kommunikation von EU- und Bundesbehörden verschaffen.

Als weitere Hinweise auf die russische Herkunft der Angreifer präsentierte Raiu unter anderem Codeschnipsel, in denen russische Spezialausdrücke auftauchten sowie Ausschnitte aus dem Mailverkehr der Spione mit dem Registrar der von ihnen in Russland unter falschem Namen angemieteten Server. Um ihre Identität zu verschleiern, nutzten sie unter anderem Twitter: Die Malware postete dort unter mehreren Namen scheinbar harmlose Tweets mit kryptischen Links – die nur die Angreifer entschlüsseln konnten und mit deren Hilfe sie dann GIF-Dateien von Servern in Panama und der Türkei abholten.

Raiu stellte Red October in eine Reihe mit Aurora, Stuxnet, Duqu, Flame, Gauss und Shamoon. Er hält es für ein bedenkliches Zeichen, dass die Frequenz dieser Angriffe zunimmt: Während zwischen Aurora, Stuxnet und Duqu noch je ein Jahr lag, wurden 2012 mit Flame, Gauss und Shamoon bereits mehrere derartige Angriffe auf ausgewählte Ziele aufgedeckt – und 2013 liegen schon im März mit Red October und MiniDuqu zwei vor.

Als bedenklich bezeichnete Raiu gegenüber ZDNet die Tätigkeit von Firmen wie The Hacking Team in Italien, Vupen in Frankreich oder Gamma International in Deutschland, die auf Bestellung Viren für Geheimdienste und andere staatliche Organe erstellen. Offiziell beriefen sie sich darauf, nur an NATO-Länder zu verkaufen. Kaspersky habe entsprechende Software aber auch schon in anderen Ländern, etwa Turkmenistan und Bahrein gefunden. „Es ist eine große Gefahr, dass es keine Kontrolle gibt, wer diese Software kaufen kann“, erklärte Raiu.