Cyberspionage gegen öffentliche Einrichtungen in Europa enthüllt

14. Jänner 2013, 14:25
119 Postings

Auch österreichische Botschaften betroffen - Russischer Antivirus-Spezialist geht von russischsprachigen Angreifern aus

Sicherheitsexperten haben einen großangelegten Spionage-Angriff über das Internet auf diplomatische Vertretungen, Regierungsorganisationen und Forschungsinstitute in verschiedenen Ländern entdeckt. Betroffen sind vor allem Einrichtungen in Osteuropa sowie in Zentralasien, die Angriffe richteten sich aber auch gegen Mitteleuropa und Nordamerika. Auch österreichische Einrichtungen wurden ausspioniert.

Seit mehreren Jahren seien Computer und Netzwerke der Organisationen systematisch nach hochsensiblen Dokumenten mit vertraulichen geopolitischen Inhalten durchsucht worden, teilte der russische Antivirus-Spezialist Kaspersky Lab am Montag mit.

Daten aus persönlichen mobilen Geräten

Weiterhin wurden Zugänge zu gesicherten Computersystemen ausspioniert sowie Daten aus persönlichen mobilen Geräten (Symbian und Windows Mobile) und von Netzwerk-Komponenten gesammelt. An der Aufklärung der Aktion waren Experten der offiziellen Computer Emergency Response Teams (CERT) in Weißrussland, Rumänien und den USA beteiligt.

"Russischsprachige Programmierer in vielen Ländern"

Wer die Angreifer sind, konnte Kaspersky nicht ermitteln. Aber Kaspersky geht nach einer Analyse der Schadsoftware davon aus, dass die Angreifer eine russischsprachige Herkunft haben. "Das heißt aber nicht, dass staatliche Stellen in Russland die Spionageaktion in Auftrag gegeben haben, denn russischsprachige Programmierer gibt es in vielen Ländern", sagte Kalkuhl.

Im vergangenen Oktober entdeckt

Die Cyberspionage-Kampagne "Operation Roter Oktober" sei im vergangenen Oktober entdeckt worden, sagte Kaspersky-Virenanalyst Magnus Kalkuhl der Nachrichtenagentur dpa. "Wir gehen jedoch davon aus, dass die Aktion schon im Jahr 2007 begonnen hat." Außer Botschaften und Regierungsorganisationen seien vor allem Forschungsinstitute, Energie- und Atomkonzerne, Handelsorganisationen und Einrichtungen der Luft- und Raumfahrt betroffen gewesen. Der Cyberspionage-Angriff laufe noch immer.

Schwachstellen in Microsoft Word und Excel

Die Angreifer nutzen nach Angaben von Kaspersky Schwachstellen in den Microsoft-Programmen Word und Excel aus. Für diese gibt es zwar bereits Sicherheitsaktualisierungen, aber vielen Anwender haben diese noch nicht installiert. Dabei schickten die Angreifer infizierte E-Mails an ihre Opfer, um die Schwachstellen der Programme auszunutzen.

Weitere Werkzeuge der Online-Spione seien bösartige Erweiterungen für den Acrobat Reader von Adobe sowie Microsoft Office, mit denen auf den befallenen Rechnern Programme ausgeführt werden können. Auf diesem Weg erhalten die Angreifer auch dann einen Zugriff auf das Zielsystem, wenn der eigentliche Kern der Schadsoftware bereits entdeckt und entfernt oder das System mit einem Sicherheitsupdate gesichert wurde.

Acid Cryptofiler

Die Online-Spione haben es vor allem auf Dateien mit der Endung .acid abgesehen, die von der Software Acid Cryptofiler erzeugt werden. Dieses Verschlüsselungsprogramm wird nach Angaben von Kaspersky von verschiedenen öffentlichen Einrichtungen genutzt, darunter die Europäische Union und die NATO.

60 Server

Kontrolliert wurden die Angriffe von mehr als 60 Servern, die vor allem aus Deutschland und Russland stammten. Diese Infrastruktur in der ersten Reihe der "Command-and-Control-Server" dient auch dazu, die Identität des eigentlichen Kontrollsystems zu verbergen. (APA/red, derStandard.at, 14.1.2013)

Links

Die komplette Analyse von Kaspersky Lab findet sich im Blog von Securelist

Bericht von Kaspersky Lab

  • Die Kaspersky-Infografik zur "Operation Roter Oktober".
    foto: kasperky

    Die Kaspersky-Infografik zur "Operation Roter Oktober".

Share if you care.