Roter Oktober: Regierungsorganisationen jahrelang ausspioniert

„Jagd auf Roter Oktober“ war ein Spionage-Thriller von Tom Clancy, der im Jahr 1990 verfilmt wurde – die etwas älteren Leser werden sich vielleicht daran erinnern. Jetzt gibt es tatsächlich eine Art Jagd auf Roter Oktober, denn die Sicherheits-Experten von Kaspersky haben ein Schadprogramm entdeckt, das sich seit mehreren Jahren gegen diplomatische Einrichtungen, Regierungsorganisationen und Forschungsinstitute in verschiedenen Ländern richtet.

Roter Oktober: Fünf Jahre unentdeckt

Mindestens seit 2007, möglicherweise sogar schon länger, ist die Spionage-Software aktiv. Da sie über eine solch lange Zeit nicht entdeckt wurde, hat sie den Namen „Roter Oktober“, kurz „Rocra“ erhalten, in Anlehnung an das lautlose Atom-U-Boot Roter Oktober aus dem gleichnamigen Film (und Buch).

Eine ganze Reihe von Angriffen gegen internationale diplomatische Einrichtungen haben im Oktober 2012 ein Expertenteam von Kaspersky Lab auf den Plan gerufen, die Ermittlungen aufnahmen und das Cyperspionage-Netzwerk so aufdeckten. Noch ist unklar, wer die Angreifer sind. Bei Kaspersky geht man davon aus, dass sie russisch-sprachiger Herkunft sind, weist jedoch ausdrücklich darauf hin, dass die Angriffe nicht zwingend von der russischen Regierung ausgehen müssen.

Sicherheitslücken in Word und Excel genutzt

Die Angreifer nutzten Sicherheitslücken in den Programmen Microsoft Word und Microsoft Excel. Mit gezielten Phishing-E-Mails, die sogenannte Dropper-Trojaner enthielten, konnten die Angreifer Schadsoftware installieren und so die Systeme infizieren. Die Dokumente, die über die infizierten System gestohlen wurden haben 34 verschiedene Dateiformate, allerdings wurde gezielt nach Dateien mit Erweiterung „.acid“ gesucht. Dabei handelt es sich um Dateien, die zur Software Acid Cryptofiler gehört. Diese Software wird unter anderem von der Europäischen Union und von der NATO zur Verschlüsselung genutzt.

Die Angreifer haben gezielt Phishing-Mails verschickt und Daten von den infizierten System gestohlen. (Bild: Kaspersky)

Komplexe, modulare Architektur von Rocra

Auffällig an Roter Oktober ist die besonders ausgefeilte und komplexe, modulare Architektur der Malware, die vergleichbar ist mit der vor rund einem Jahr entdeckten Schadsoftware Flame. Mit der Viren-Familie um Flame, Gauss, Duqu und Co. hat Rocra jedoch nach Angaben von Kaspersky Lab nichts zu tun. Betroffen sind vor allem Rechner, aber auch Smartphones und Netzwerke bei internationalen Organisationen, diplomatischen Vertretungen, Regierungsorganisationen und Forschungseinrichtungen in Russland, Kasachstan, Aserbaidschan, Belgien, Indien, Afghanistan, Armenien, im Irak und in Turkmenistan.