5 Jahre unentdeckt

Länder Osteuropas Opfer massiver Cyberspionage

(Bild: thinkstockphotos.de)

Sicherheitsexperten haben einen groß angelegten Spionageangriff über das Internet auf diplomatische Vertretungen, Regierungsorganisationen und Forschungsinstitute in verschiedenen Ländern entdeckt. Betroffen sind vor allem Einrichtungen in Osteuropa sowie in Zentralasien. Seit mehreren Jahren seien Computer und Netzwerke der Organisationen systematisch nach hochsensiblen Dokumenten mit vertraulichen geopolitischen Inhalten durchsucht worden, teilte der russische Antivirus-Spezialist Kaspersky Lab mit.

Weiterhin seien Zugänge zu gesicherten Computersystemen ausspioniert sowie Daten aus persönlichen mobilen Geräten und von Netzwerk-Komponenten gesammelt worden. An der Aufklärung der Aktion waren Experten der offiziellen Computer Emergency Response Teams (CERT) in Weißrussland, Rumänien und den USA beteiligt.

Firmen, Forscher und Behörden seit 2007 abgehört
Die Cyberspionage-Kampagne "Operation Roter Oktober" sei im vergangenen Oktober entdeckt worden, sagte Kaspersky-Virenanalyst Magnus Kalkuhl. "Wir gehen jedoch davon aus, dass die Aktion schon im Jahr 2007 begonnen hat." Außer Botschaften und Regierungsorganisationen seien vor allem Forschungsinstitute, Energie- und Atomkonzerne, Handelsorganisationen und Einrichtungen der Luft- und Raumfahrt betroffen. Der Cyberspionage-Angriff laufe noch immer.

Wer die Angreifer sind, konnte man nicht ermitteln. Aber Kaspersky geht nach einer Analyse der Schadsoftware davon aus, dass die Angreifer Russisch sprechen. "Das heißt aber nicht, dass staatliche Stellen in Russland die Spionageaktion in Auftrag gegeben haben, denn russischsprachige Programmierer gibt es in vielen Ländern", sagte Kalkuhl.

Schwachstellen in Microsoft Office ausgenutzt
Die Angreifer nützen nach Angaben von Kaspersky Schwachstellen in den Microsoft-Programmen Word und Excel aus. Für diese gibt es zwar bereits Sicherheitsaktualisierungen, aber viele Anwender haben diese noch nicht installiert. Die Angreifer schicken infizierte E-Mails an ihre Opfer, um die Schwachstellen der Programme auszunutzen.

Weitere Werkzeuge der Online-Spione seien bösartige Erweiterungen für den Acrobat Reader von Adobe sowie Microsoft Office, mit denen auf den befallenen Rechnern Programme ausgeführt werden können. Auf diesem Weg erhalten die Angreifer auch dann Zugriff auf das Zielsystem, wenn der eigentliche Kern der Schadsoftware bereits entdeckt und entfernt oder das System mit einem Sicherheitsupdate gesichert wurde.

Angreifer haben es auf verschlüsselte Dateien abgesehen
Die Online-Spione haben es vor allem auf Dateien mit der Endung .acid abgesehen, die von der Software "Acid Cryptofiler" erzeugt werden. Dieses Verschlüsselungsprogramm wird nach Angaben von Kaspersky von verschiedenen öffentlichen Einrichtungen genutzt, unter ihnen die Europäischen Union und die NATO.

Kontrolliert werden die Angriffe von mehr als 60 Servern - vor allem in Deutschland und Russland - aus. Diese Infrastruktur in der ersten Reihe der "Command-and-Control-Server" dient offenbar auch dazu, die Identität des eigentlichen Kontrollsystems zu verbergen.