Operation Roter Oktober

Spionagenetzwerk bespitzelt Regierungen

Ein seit mindestens fünf Jahren aktives Netzwerk spioniert mit eigens erstellter Software Regierungsorganisation, Forschungsinstitute, Energiekonzerne, Raumfahrtunternehmen und Handelsorganisationen aus.

Malware-Bedrohung

© WEKA

Malware-Bedrohung

Wie der russische Antivirushersteller Kaspersky Lab meldet, ist seit 2007 ein groß angelegtes Online-Spionagenetzwerk aktiv, das zahlreiche wichtige Einrichtungen, vorwiegend in Osteuropa und Zentralasien, aber auch in Westeuropa und Nordamerika bespitzelt. Kaspersky ermittelt seit Oktober 2012 und hat nun erstmals Ergebnisse seiner Untersuchungen veröffentlicht.

Kaspersky Lab nennt das Netzwerk "Operation Roter Oktober" oder kurz "Rocra". Die unbekannten Täter sind vermutlich russischer Herkunft und haben eine komplexe Online-Infrastruktur aufgebaut. Die eigens entwickelte, modulare Spionage-Software setzt sich aus mehreren Komponenten zusammen. Dazu zählen so genannte Backdoor-Trojaner, Erweiterungen für Adobe Reader und Microsoft Office sowie Module zum Datendiebstahl.

Die Infrastruktur im Internet umfasst mehrere Kommando-Server ("C&C-Server"), die als tarnende Proxy-Server dienen, hinter denen sich die eigentlichen Kontrollstrukturen des Netzwerks verbergen. Die Täter haben mehr als 60 Domains registriert und die Infrastruktur auf mehrere Standorte verteilt. Dazu zählen vor allem Deutschland und Russland.

Die Ziel der Cyberspione sind Regierungsorganisationen, diplomatische Einrichtungen, Forschungsinstitute, Atom- und Energiekonzerne, Handelsorganisationen und Einrichtungen der Luft- und Raumfahrt. Die Spionage-Software sucht offenbar verschiedenste Dateitypen, insgesamt 34, darunter auch Dateien mit der Endung ".acid". Diese Dateien deuten auf eine Verschlüsselungs-Software namens "Acid Cryptofiler" hinzu, die von öffentlichen Einrichtungen wie der EU und der NATO genutzt wird.

Ratgeber: Zehn Tipps für sichere Passwörter

Hinweise wie die Registrierungsdaten der Domains und Spuren in den Malware-Dateien deuten darauf hin, dass die noch unbekannten Angreifer russisch sprechen. Die benutzte Spionage-Software, "Rocra" genannt, ist bislang noch bei keiner anderen Operation beobachtet worden. Ihre Komplexität erinnert an früher entdeckte Spionage-Software wie "Flame". Die Untersuchung der "Operation Roter Oktober" dauert an. Die komplette Analyse der bisherigen Erkenntnisse finden Sie im Kaspersky-Blog.

image.jpg

© Kaspersky Lab

Die Spionage-Software wird "Rocra" genannt.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…