15.01.2013, 10:39 Uhr
Cyber-Grossangriff auf Europa
Laut dem Security-Spezialisten Kaspersky Labs haben russische Hacker jahrelang europäische Länder angegriffen, darunter auch die Schweiz.
Nun hat Kaspersky Detailszu Cyberspionage-Kampagne «Operation Roter Oktober» veröffentlicht. Diese richtete sich demnach seit mindestens fünf Jahren gegen diplomatische Einrichtungen, Regierungsorganisationen und Forschungsinstitute in verschiedenen Ländern richtet, darunter auch in der Schweiz. Gezielt wurden dabei in den betroffenen Organisationen hochsensible Dokumente mit vertraulichen geopolitischen Inhalten gesammelt. Des weitern wurden Zugänge zu gesicherten Computersystemen ausspioniert, sowie Daten aus persönlichen mobilen Geräten und von Netzwerk-Komponenten gesammelt.
Als Folge zahlreicher Angriffe gegen internationale diplomatische Einrichtungen im Oktober 2012 begann das Kaspersky-Team seine Ermittlungen. Dabei kam ein grossangelegtes Cyberspionage-Netzwerk ans Tageslicht, das im Laufe der Untersuchungen analysiert werden konnte. Die «Operation Roter Oktober», kurz «Rocra» genannt, ist demnach immer noch aktiv.
Als Folge zahlreicher Angriffe gegen internationale diplomatische Einrichtungen im Oktober 2012 begann das Kaspersky-Team seine Ermittlungen. Dabei kam ein grossangelegtes Cyberspionage-Netzwerk ans Tageslicht, das im Laufe der Untersuchungen analysiert werden konnte. Die «Operation Roter Oktober», kurz «Rocra» genannt, ist demnach immer noch aktiv.
Schweiz betroffen und stark verseucht
Laut dem Report von Kaspersky war die Schweiz zwar nicht das Hauptangriffsziel. So verzeichneten die Sicherheitsexperten nur fünf Ziele in der Schweiz, vornehmlich aus dem diplomatischen Umfeld. Dafür ergab die sogenannte «Sinkhole»-Analyse von Kaspersky, dass die meisten verseuchten IP-Adressen, nämlich ganze 20 Prozent, in der Schweiz anzusiedeln sind, vor Kasachstan, Griechenland und Weissrussland. Dagegen standen die meisten Command-and-Control-Server (C&C) in Deutschland und Russland. Lesen Sie auf der nächsten Seite: So gelang die Infektion Die Infektion mit der Schadsoftware erfolgte über massgeschneiderte sogenannte Dropper-Trojaner, welche die Angreifer an ihre Opfer in Form von zielgerichteten Spear-Phishing-E-Mails verschickten. Die gefährlichen E-Mails enthielten speziell erstellte Exploits, um Schwachstellen im Sicherheitssystem von Microsoft Office und Microsoft Excel auszunutzen.
Für die Angriffe selbst wurde eine multifunktionale Plattform mit verschiedenen Erweiterungen und bösartigen Dateien benutzt, um sich rasch an unterschiedliche Systemkonfigurationen anpassen zu können und vertrauliche Daten von den infizierten Rechnern zu ziehen. Die hier verwendete Plattform ist Rocra-spezifisch und wurde somit nicht in anderen zuvor untersuchten Cyberspionage-Kampagnen verwendet. Sie hat folgende Besonderheiten:
Ein einzigartiges «Wiederbelebungs»-Modul erlaubt den Angreifern, die Kontrolle über infizierte Systeme wiederzuerlangen. Das Modul versteckt sich als Plugin bei Installationen von Adobe Reader und Microsoft Office. Mit dessen Hilfe können die Angreifer durch Zusendung einer präparierten Datei – die mit dem Adobe Reader oder Microsoft Office geöffnet werden muss – jederzeit wieder Zugriff auf das Zielsystem erlangen, selbst wenn der eigentliche Kern der Schadsoftware bereits entdeckt und entfernt oder das System gepatched wurde.
Die ausgefeilten kryptografischen Spionage-Module von Rocra dienen dem Diebstahl vertraulicher Daten. Dazu gehören auch Dateien diverser Kryptografie-Systeme wie zum Beispiel «Acid Cryptofiler». Wie bekannt wird dieses Produkt seit Sommer 2011 von NATO und EU sowie vom Europäischen Parlament und der Europäischen Kommission eingesetzt, um sensible Daten zu schützen.
Rocra richtet sich nicht nur gegen Workstations, sondern kann auch Daten von mobilen Geräten wie Smartphones (iPhone, Nokia oder Windows Mobile) stehlen. Ebenso zielt die Schadsoftware auf die Konfigurations-Informationen von Unternehmens-Netzwerken (Router und Switches) sowie auf die gelöschten Dateien von Wechseldatenträgern.
Die Registrierungs-Daten der C&C-Server, vor allem aber zahlreiche Spuren in den ausführbaren Dateien der Malware deuten darauf hin, dass die Angreifer eine russisch-sprachige Herkunft haben. Zudem waren die ausführbaren Dateien bis zur Entdeckung der Operation unbekannt und wurden von den Experten von Kaspersky nicht bei der Analyse vorheriger Cyperspionage-Angriffe gefunden.
Für die Angriffe selbst wurde eine multifunktionale Plattform mit verschiedenen Erweiterungen und bösartigen Dateien benutzt, um sich rasch an unterschiedliche Systemkonfigurationen anpassen zu können und vertrauliche Daten von den infizierten Rechnern zu ziehen. Die hier verwendete Plattform ist Rocra-spezifisch und wurde somit nicht in anderen zuvor untersuchten Cyberspionage-Kampagnen verwendet. Sie hat folgende Besonderheiten:
Ein einzigartiges «Wiederbelebungs»-Modul erlaubt den Angreifern, die Kontrolle über infizierte Systeme wiederzuerlangen. Das Modul versteckt sich als Plugin bei Installationen von Adobe Reader und Microsoft Office. Mit dessen Hilfe können die Angreifer durch Zusendung einer präparierten Datei – die mit dem Adobe Reader oder Microsoft Office geöffnet werden muss – jederzeit wieder Zugriff auf das Zielsystem erlangen, selbst wenn der eigentliche Kern der Schadsoftware bereits entdeckt und entfernt oder das System gepatched wurde.
Die ausgefeilten kryptografischen Spionage-Module von Rocra dienen dem Diebstahl vertraulicher Daten. Dazu gehören auch Dateien diverser Kryptografie-Systeme wie zum Beispiel «Acid Cryptofiler». Wie bekannt wird dieses Produkt seit Sommer 2011 von NATO und EU sowie vom Europäischen Parlament und der Europäischen Kommission eingesetzt, um sensible Daten zu schützen.
Rocra richtet sich nicht nur gegen Workstations, sondern kann auch Daten von mobilen Geräten wie Smartphones (iPhone, Nokia oder Windows Mobile) stehlen. Ebenso zielt die Schadsoftware auf die Konfigurations-Informationen von Unternehmens-Netzwerken (Router und Switches) sowie auf die gelöschten Dateien von Wechseldatenträgern.
Die Registrierungs-Daten der C&C-Server, vor allem aber zahlreiche Spuren in den ausführbaren Dateien der Malware deuten darauf hin, dass die Angreifer eine russisch-sprachige Herkunft haben. Zudem waren die ausführbaren Dateien bis zur Entdeckung der Operation unbekannt und wurden von den Experten von Kaspersky nicht bei der Analyse vorheriger Cyperspionage-Angriffe gefunden.