Kriminalität

Angriff von „Roter Oktober“ – Internetspionage entdeckt

Sicherheitsexperten haben einen groß angelegten Spionageangriff über das Internet auf diplomatische Vertretungen, Regierungsorganisationen und Forschungsinstitute in verschiedenen Ländern entdeckt.

Betroffen waren vor allem Einrichtungen in Osteuropa sowie in Zentralasien. Seit mehreren Jahren seien Computer und Netzwerke der Organisationen systematisch nach hochsensiblen Dokumenten mit vertraulichen geopolitischen Inhalten durchsucht worden, teilte der russische Antivirusspezialist Kaspersky Lab am Montag mit. Weiterhin wurden Zugänge zu gesicherten Computersystemen ausspioniert sowie Daten aus persönlichen mobilen Geräten und von Netzwerkkomponenten gesammelt.

Wer die Angreifer sind, konnte Kaspersky nicht ermitteln. Aber Kaspersky geht nach einer Analyse der Schadsoftware davon aus, dass die Angreifer eine russischsprachige Herkunft haben. „Das heißt aber nicht, dass staatliche Stellen in Russland die Spionageaktion in Auftrag gegeben haben, denn russischsprachige Programmierer gibt es in vielen Ländern“, sagte Kaspersky-Virenanalyst Magnus Kalkuhl. Die Cyberspionagekampagne „Operation Roter Oktober“ sei im vergangenen Oktober entdeckt worden, sagte Kalkuhl. „Wir gehen jedoch davon aus, dass die Aktion schon im Jahr 2007 begonnen hat.“ Außer Botschaften und Regierungsorganisationen seien vor allem Forschungsinstitute, Energie- und Atomkonzerne, Handelsorganisationen und Einrichtungen der Luft- und Raumfahrt betroffen gewesen. Der Cyberspionageangriff laufe noch immer.

Die Angreifer nutzen nach Angaben von Kaspersky Schwachstellen in den Microsoft-Programmen Word und Excel aus. Für die gibt es zwar bereits Sicherheitsaktualisierungen, aber viele Anwender haben diese noch nicht installiert. Dabei schickten die Angreifer infizierte E-Mails an ihre Opfer, um die Schwachstellen der Programme auszunutzen. Die Online-Spione haben es vor allem auf Dateien mit der Endung „.acid“ abgesehen, die von der Software Acid Cryptofiler erzeugt werden. Dieses Verschlüsselungsprogramm wird nach Angaben von Kaspersky von verschiedenen öffentlichen Einrichtungen genutzt, unter ihnen die Europäische Union und die Nato. Registriert wurden die Angriffe von mehr als 60 Servern, die vor allem aus Deutschland und Russland stammten.