Russische Malware spioniert offenbar Unternehmen aus

Laut FireEye wird die Schadsoftware “APT28” bereits seit sieben Jahren für Angriffe auf ausländische Regierungen sowie Rüstungs- und Sicherheitsfirmen genutzt. Wie Dan McWhorter, Vizepräsident für Threat Intelligence bei FireEye, erklärt, habe sein Unternehmen deutliche Hinweise gefunden, dass die Malware aus Russland stammt. Zudem soll die russische Regierung die Software unterstützen. Allerdings liefert er keine eindeutigen Beweise für eine direkte Beteiligung Russlands.

Erstmals habe FireEye die Malware bei einem Kunden entdeckt, berichtet das Wall Street Journal. Demnach konnte das Spionage-Tool die herkömmliche Erkennung umgehen und außerdem Computer ohne Internetzugang infizieren. Auf russischsprachigen Computern in Moskau soll APT28 programmiert worden sein.

Die betroffene Firma ist dem Bericht zufolge in den USA ansässig und verfügt über militärische Geheimnisse. Der Angriff sei Anfang des Jahres erfolgt. Zudem hätten die unbekannten Täter auf geheime Daten zugreifen können. Die hinterlassenen digitalen Spuren entsprächen aber nicht denen von chinesischen Angreifern.

Das Spionageprogramm könne gestohlene Daten verschlüsseln und auf eine Weise verschicken, dass der Datenverkehr dem üblichen E-Mail-Traffic des Opfers entspreche. Dadurch könne es eine Entdeckung vermeiden. Per USB-Stick habe sich die Malware innerhalb des betroffenen Unternehmens verbreitet. Somit konnten auch Computer erreicht werden, die keinen Zugang zum Internet haben.

FireEye führt laut WSJ auch die Auswahl der Ziele als Hinweis auf eine Beteiligung russischer Behörden an. Angegriffen wurden ausnahmslos Regierungsnetzwerke in der Kaukasus-Region und in Osteuropa sowie US-Rüstungsfirmen. Diese stellen alle Ziele dar, die vor allem von Interesse für Russland seien. In einer Analyse beschreibt FireEye darüber hinaus eine besonders gestaltete Phishing-E-Mail, die die Hacker gegen einen Journalisten in Georgien eingesetzt haben sollen.

Staatlich unterstützte Malware ist Mikko Hypponen, Sicherheitsanalyst bei F-Secure, zufolge eher eine Ausnahme. An der Entwicklung von Schadsoftware seien nur wenige Länder beteiligt. Jedoch sind es nicht die ersten Vorwürfe gegen Russland, es nutze Schadprogramme, um ausländische Regierungen oder Unternehmen zu infiltrieren. Im März hatte beispielsweise das deutsche Sicherheitsunternehmen GData vermutet, die Spionagesoftware Uroburos habe russische Wurzeln.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de