CeBIT: Neue Details zur Malware “Red October”

Costin G. Raiu, Leiter des Forschungs- und Analyseteams bei Kaspersky Labs, hat auf der CeBITvor Journalisten weitere Details zur Malware Red October genannt. Sie späht vor allem Regierungseinrichtungen zahlreicher Länder aus. Über die Malware hatte Kaspersky Mitte Januar erstmals berichtet. Damals schon hatte die Vermutung nahegelegen, dass die Autoren der Malware russisch als Muttersprache sprechen.

Raiu gab nun zusätzlich preis, dass Kaspersky von einem Kunden aus Europa auf die Malware aufmerksam gemacht worden sei. Der größte Teil der Server, auf den Red October für seine Tätigkeit zurückgriff, stand in Deutschland und in Russland. In Deutschland hatten die Angreifer beim Hoster Hetzner etwa die Hälfte der 25 von ihnen verwendeten Server verdeckt angemietet.

Den Aufwand, den die Angreifer getrieben haben, zeigt auch, dass sie eine Zero-Day-Lücke im Adobe Reader ausgenutzt, 34 Angriffsmodule entwickelt und über 1000 Dateien erzeugt hatten, die sie als Trägermedium für die Malware benutzten. Dabei handelte es sich um vermeintliche Angebote für Gebrauchtwagen aus dem Bestand von Botschaften, ebenso wie um vorgebliche Positionspapiere zum NATO-Beitritt der Ukraine – je nachdem, welches Thema für den Empfänger am geeignetsten erschien.

Da die Angreifer offenbar im Besitz der Schlüssel von Acid Cryptofiler, einem von NATO und EU-Behörden für die Verschlüsselung genutzten Tool, sowie des vom BSI entwickelten Verschlüsselungswerkzeugs Chiasmus waren, konnten sie sich auch Zugriff auf verschlüsselte Kommunikation von EU- und Bundesbehörden verschaffen.

Als weitere Hinweise auf die russische Herkunft der Angreifer präsentierte Raiu unter anderem Codeschnipsel, in denen russische Spezialausdrücke auftauchten sowie Ausschnitte aus dem Mailverkehr der Spione mit dem Registrar der von ihnen in Russland unter falschem Namen angemieteten Server. Um ihre Identität zu verschleiern, nutzten sie unter anderem Twitter: Die Malware postete dort unter mehreren Namen scheinbar harmlose Tweets mit kryptischen Links – die nur die Angreifer entschlüsseln konnten und mit deren Hilfe sie dann GIF-Dateien von Servern in Panama und der Türkei abholten.

Raiu stellte Red October in eine Reihe mit Aurora, Stuxnet, Duqu, Flamye, Gauss und Shamoon. Er hält es für ein bedenkliches Zeichen, dass die Frequenz dieser Angriffe zunimmt: Während zwischen Aurora, Stuxnet und Duqu noch je ein Jahr lag, wurden 2012 mit Flame, Gauss und Shamoon bereits mehrere derartige Angriffe auf ausgewählte Ziele aufgedeckt – und 2013 liegen schon im März mit Red October und MiniDuqu zwei vor.

Als bedenklich bezeichnete Raiu gegenüber ZDNet die Tätigkeit von Firmen wie The Hacking Team in Italien, Vupen in Frankreich oder Gamma International in Deutschland, die auf Bestellung Viren für Geheimdienste und andere staatliche Organe erstellen. Offiziell beriefen sie sich darauf, nur an NATO-Länder zu verkaufen. Kaspersky habe entsprechende Software aber auch schon in anderen Ländern, etwa Turkmenistan und Bahrein gefunden. “Es ist eine große Gefahr, dass es keine Kontrolle gibt, wer diese Software kaufen kann”, erklärte Raiu.

Zu den Ländern, in denen Organsiationen oder Behörden Opfer von Red October wurden, gehören nach neuesten Erkenntnissen neben den in der Karte rot markierten auch Polen und Rumänien (Grafik: Kaspersky).

Tipp: Sind Sie ein CeBIT-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de