CeBIT: Neue Details zur Malware “Red October”

Costin G. Raiu, Leiter des Forschungs- und Analyseteams bei Kaspersky Labs, hat auf der CeBITvor Journalisten weitere Details zur Malware Red October genannt. Sie späht vor allem Regierungseinrichtungen zahlreicher Länder aus. Über die Malware hatte Kaspersky Mitte Januar erstmals berichtet. Damals schon hatte die Vermutung nahegelegen, dass die Autoren der Malware russisch als Muttersprache sprechen.

Costin G. Raiu, Leiter des Forschungs- und Analyseteams bei Kaspersky Labs (Bild: Kaspersky Labs)

Raiu gab nun zusätzlich preis, dass Kaspersky von einem Kunden aus Europa auf die Malware aufmerksam gemacht worden sei. Der größte Teil der Server, auf den Red October für seine Tätigkeit zurückgriff, stand in Deutschland und in Russland. In Deutschland hatten die Angreifer beim Hoster Hetzner etwa die Hälfte der 25 von ihnen verwendeten Server verdeckt angemietet.

Den Aufwand, den die Angreifer getrieben haben, zeigt auch, dass sie eine Zero-Day-Lücke im Adobe Reader ausgenutzt, 34 Angriffsmodule entwickelt und über 1000 Dateien erzeugt hatten, die sie als Trägermedium für die Malware benutzten. Dabei handelte es sich um vermeintliche Angebote für Gebrauchtwagen aus dem Bestand von Botschaften, ebenso wie um vorgebliche Positionspapiere zum NATO-Beitritt der Ukraine – je nachdem, welches Thema für den Empfänger am geeignetsten erschien.

Die Angreifer hinter Red October waren offenbar auch im Besitz von Schlüsseln des von Bundesbehörden benutzten Verschlüsselungswerkzeugs Chiasmus (Bild: ZDNet).

Da die Angreifer offenbar im Besitz der Schlüssel von Acid Cryptofiler, einem von NATO und EU-Behörden für die Verschlüsselung genutzten Tool, sowie des vom BSI entwickelten Verschlüsselungswerkzeugs Chiasmus waren, konnten sie sich auch Zugriff auf verschlüsselte Kommunikation von EU- und Bundesbehörden verschaffen.

Als weitere Hinweise auf die russische Herkunft der Angreifer präsentierte Raiu unter anderem Codeschnipsel, in denen russische Spezialausdrücke auftauchten sowie Ausschnitte aus dem Mailverkehr der Spione mit dem Registrar der von ihnen in Russland unter falschem Namen angemieteten Server. Um ihre Identität zu verschleiern, nutzten sie unter anderem Twitter: Die Malware postete dort unter mehreren Namen scheinbar harmlose Tweets mit kryptischen Links – die nur die Angreifer entschlüsseln konnten und mit deren Hilfe sie dann GIF-Dateien von Servern in Panama und der Türkei abholten.

Raiu stellte Red October in eine Reihe mit Aurora, Stuxnet, Duqu, Flamye, Gauss und Shamoon. Er hält es für ein bedenkliches Zeichen, dass die Frequenz dieser Angriffe zunimmt: Während zwischen Aurora, Stuxnet und Duqu noch je ein Jahr lag, wurden 2012 mit Flame, Gauss und Shamoon bereits mehrere derartige Angriffe auf ausgewählte Ziele aufgedeckt – und 2013 liegen schon im März mit Red October und MiniDuqu zwei vor.

Als bedenklich bezeichnete Raiu gegenüber ZDNet die Tätigkeit von Firmen wie The Hacking Team in Italien, Vupen in Frankreich oder Gamma International in Deutschland, die auf Bestellung Viren für Geheimdienste und andere staatliche Organe erstellen. Offiziell beriefen sie sich darauf, nur an NATO-Länder zu verkaufen. Kaspersky habe entsprechende Software aber auch schon in anderen Ländern, etwa Turkmenistan und Bahrein gefunden. “Es ist eine große Gefahr, dass es keine Kontrolle gibt, wer diese Software kaufen kann”, erklärte Raiu.

Zu den Ländern, in denen Organsiationen oder Behörden Opfer von Red October wurden, gehören nach neuesten Erkenntnissen neben den in der Karte rot markierten auch Polen und Rumänien (Grafik: Kaspersky).

Tipp: Sind Sie ein CeBIT-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

KI im SEO: So erzielen Sie optimale Ergebnisse

Künstliche Intelligenz gewinnt im Bereich der Suchmaschinenoptimierung zunehmend an Bedeutung. Durch Technologien, die menschliches Verhalten…

8 Minuten ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

21 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

21 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

22 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

1 Tag ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

2 Tagen ago