Die technischen Einzelheiten von "Roter Oktober" - Eine Analyse von Kaspersky Labs

18.01.2013 15:53 Uhr heise

Kaspersky gibt weitere Details zu "Roter Oktober" heraus

Im zweiten Teil der Analyse von Kaspersky Labs zur Operation "Roter Oktober" werden die technischen Details der groß angelegten Cyberspionage genauer erläutert. Kaspersky gibt eine detaillierte Einsicht in die verschiedenen Module die zur Verwendung den Diebstahl von Daten verwendet wurden.

So gibt es eigens Werkzeuge für iPhones und Nokia-Smartphones. Sobald ein solches Smartphone angeschlossen wurde, hat das Modul auf dem Gerät nach Fotos, Office-Dokumenten, Sprachaufzeichnungen und weiteren potenziell interessanten Dateitypen gesucht. Auf Windows-Mobile-Smartphones hat das Trojaner-Modul beim Kontakt mit dem Rechner sogar eine Spionagesoftware kopiert.

Außerdem verließen sich die Initiatoren nicht nur auf ein übliches Backdoor-Programm, allerdings hielten ein ungewöhnliches Arsenal vor ? in diesem Fall waren das beispielsweise Plug-ins für Adobes Acrobat Reader & Microsoft Office die kaum von Antiviren-Programmen gefunden wurden. Auf diesem Weg konnten infizierte Systeme selbst nach einer Reinigung mit Antivirensoftware schnell wieder gekapert werden: Die Opfer wurden dann einfach wieder mit PDF- oder Office-Dateien versorgt, in denen verschlüsselter Schadcode enthalten war. Die Plug-ins warteten darauf, dass ein solches Dokument geöffnet wurde, entschlüsselten den Schadcode und führten ihn schließlich aus.

Trotz dieser Eigenschaften gilt die Operation Roter Oktober die mit einer Malware-Familie namens Sputnik betrieben wurde, selbst bei Kaspersky Labs nach eingehender Analyse nicht als die bisher beeindruckendste Spionageaktion. Kasperskys Sicherheitsforscher Kurt Baumgartner unterstrich gegenüber Ars Technica: "Meiner Meinung nach ist Flame die Königinmutter der besonders modernen Angriffsmethoden." Flame steche so aus den Spionagetrojanern hervor, da dieser Trojaner Microsofts Update-Funktion manipulierte und sich so von einer infizierten Maschine zur nächsten hangelte.

Die Operation Roter Oktober beziehungsweise "Rocra" soll letztlich, darauffolgend ungefähr fünf Jahren im Verborgenen, durch menschliches Versagen aufgefallen sein, ebenso wie das IT-Pro-Portal schreibt. Kaspersky Lab gibt an; dass sie auf Anfrage eines Kunden tätig wurden. Von ihnen eingesetzte Test-Rechner die mit den Schädlingen infiziert wurden, ermöglichten die genaue Analyse.

Zuletzt aktualisiert am 25.12.2023 17:08 Uhr

Kommentare

Ähnliche News

Flame: Drei neue Varianten entdeckt

Der Spionage-Trojaner Flame, bei dem viele Sicherheits-Analysten einen staatlichen Hintergrund vermuten ist nicht so neu wie zunächst angenommen.

miniFlame - Eine spezialisierte Ergänzung zu Flame

miniFlame - Der kleine Bruder des Spionagetrojaners Flame

Die Forscher von Kaspersky Lab haben kürzlich eine neue Ergänzung zur Familie des Spionagetrojaners Flame entdeckt. Dieser kleinere Trojaner, genannt miniFlame ist spezialisierter und es gibt Anzeichen für einen dritten, bisher unbekannten Vertreter dieser Trojanerfamilie.

BSI: Flame ist nichts Besonderes

In der Berichterstattung über den kürzlich von Kaspersky Labs entdeckten Trojaner "Flame" finden sich zahlreiche Superlative. Flame sei eine "Cyber-Superwaffe", gar einer der gefährlichsten Schädlinge aller Zeiten, heißt es dort.

Flame: Teile des Quellcodes mit Stuxnet "fast identisch"

Der Quellcode des kürzlich entdeckten Spionage-Trojaners Flame weist offenbar signifikante Gemeinsamkeiten mit dem Code des auf die Sabotage von Industrie-Anlagen spezialisierten Schädlings Stuxnet auf. Viele Experten vermuten nun; dass die Entwickler der beiden Trojaner kooperierten.

Maßgeschneiderte staatliche Spionage-Kampagnen: ProjectSauron und ihre Weiterentwicklung von Duqu & Co

ProjectSauron realisiert maßgeschneiderte staatliche Spionage-Kampagnen

Die Initiatoren von ProjectSauron haben sich von bereits existierender Spionage-Software, ebenso wie beispielsweise Duqu inspirieren lassen und diese weiter verbessert so Sicherheitsforscher in ihren Erklärungen.