Roter Oktober: Bedrohung bedeutender IT-Systeme durch umfassendes, bisher unbekanntes Spähprogramm

Bedrohung bedeutender IT-Systeme: Architektur der Malware

Wie aus einem Statement von Kaspersky Lab in Moskau vom Oktober 2012 hervorgeht, handelt es sich um ein hochkomplexes, bisher nicht beobachtetes Spähsytem, das Exploits in Microsoft Word und Microsoft Excel ausnutzte. Aber auch Adobe-Anwendungen wurden mittels Plug- Ins für die Einschleusung der Schadsoftware genutzt. Das System stützt sich auf einer Reihe, jetzt identifizierter Command&Control-Server in unterschiedlichen Ländern, die dem Vernehmen nach derzeit noch aktiv sind.

Angriffsverfahren

Ausgewählte IT-Systeme wurden meist mit Hilfe infizierter E-Mails mit entsprechenden Attachments, vorzugweise mit der Endung .xls, attackiert und bekannte Schwachstellen ausgenutzt, auch Java-

Anwendungen, z.B. CVE-2011-3544. E-Mail Angriffe erfolgten mit Domains aus Russland. Nachdem auf dem Zielsystem die infizierte E-Mail oder die Website geöffnet wurden, aktivierte der eingebettete Schadcode die Verbindungsaufnahme mit den Command&Control-Systemen.

Die C&C-Server aktivierten nun auf dem infizierten System eine Reihe weiterer Schadprogramme, z.B. die Steuerung von Smartphones. Aber auch Dateien, die mit dem Kryptosystem „ACID CRYPTOFILTER“, das durch die EU und andere Organisationen für die Verschlüsselung sensitiver Daten genutzt wird, kryptiert waren, wurden abgezogen.

Die Malware kryptierte die von den Systeme abgezogenen Informationen und versandte diese dann an die C&C-Server des Spähsystems „Roter Oktober“. Die verwandte Malware ist mit herkömmlichen Virenschutzprogrammen offenbar bis jetzt nicht detektierbar. Roter Oktober enthält über 30 Module, die der Gewinnung und Weiterleitung der Daten auf dem befallenen System dienen. Darunter auch Module mit russischen Bezeichnungen. Es konnten C&C-Server in Russland, Deutschland, Österreich, Spanien und Großbritannien identifiziert werden, die der Steuerung des Systems „Roter Oktober“ dienten. Einige dieser Server dienten als „Mutterschiffe“ für die Weiterleitung der von den infizierten Rechnern abgezogenen Informationen.

Allerdings ist die Malware im Spähsystem „Roter Oktober“ so komplex, dass hier eher von einer bilateralen staatlichen Urheberschaft auszugehen ist. Allerdings tauchen im Quelltext der Schadcodes immer wieder Redewendungen/Bezeichnungen in russischer Sprache auf. Dies mag auf Urheber in der russischen Untergrund-Hackerszene hindeuten. Auch wird die die Schadsoftware intern als „Sputnik-Malware“ bezeichnet.

Angiffsziele: Botschaften und Behörden

Zu den Angriffszielen gehörten mehr als 44 Botschaften unterschiedlicher Staaten, darunter Russland, USA,

Deutschland, der Schweiz sowie einer Vielzahl anderer staatlicher Behörden, vorzugsweise im Energiesektor und in Forschung und Entwicklung sowie bei militärischen Dienststellen.

Ziel war das unauffällige Abgreifen von Informationen auf den befallenen Rechnersystemen. Besonderes Augenmerk galt offenbar den durch die NATO und EU mit „ACID CRYPTOFILTER“ verschlüsselten sensitiven Informationen, deren Tastatureingaben mit Hilfe von Key-Loggern protokolliert werden konnten. Dabei konnte Kaspersky Labs in Moskau im Zeitraum von November 2012 bis 3. Januar 2013 mehr als 55.000 Verbindungen des Systems „Roter Oktober“ in mehr als 39 Staaten beobachten.

Folgerungen

Die Angriffe des Spähsystems galten bisher nur wenigen, dafür aber offenbar besonders ausgewählten IT-Systemen, die mit der „Spear -Phishing -Methode“ angegriffen wurden, um unnötiges Aufsehen zu vermeiden. Es stellt sich nun die grundsätzliche Frage, ob staatliche Systeme in Deutschland, der EU und befreundeten Staaten ausreichend gegen derartige Angriffe, die offenbar derzeit nur mit großem technischen Aufwand verhindert werden können, tatsächlich ausreichend geschützt sind.

Ziele möglicher Angriffe, deren Ergebnisse auch nicht näherungsweise abgeschätzt werden können, sind künftig möglicherweise Datensammlungen der Finanzverwaltung, der Sicherheitsbehörden, der Nachrichtendienste und der allgemeinen Verwaltung, der Industrie und Wirtschaft sowie die „Kritischen IT-Infrastrukturen“ der Verkehrs-, Versorgungs- und Finanzunternehmen. Die Folgen derartiger Eingriffe und Manipulationen gegen staatliche Systeme können für das Gemeinwesen absolut existenzbedrohend sein.

Praxishinweise Unternehmen verfügen über betriebswichtige IT-Infrastrukturen, deren Manipulation oder Ausfall existenzbedrohend sein können. Nicht minder gefährdend ist der Abfluss sensitiver betrieblicher Informationen an Unbefugte und deren Nutzung zum Schaden der betroffenen Unternehmen. Die permanente, automatisierte Überwachung des gesamten betrieblichen Netzwerkgeschehens in „Real-Time“ ist von überlebenswichtiger Bedeutung für das Unternehmen. Dies gilt auch für staatliche Netze aller Art, die ebenfalls permanent unter Einsatz fortgeschrittener Technik, auch gegen neuartige Bedrohungen geschützt werden müssen. Unternehmen sollten ihren Kernbestand an wichtigen Daten gegen Angriffe geschützt auslagern. Entsprechende Redundanzen für den Ausfall betrieblicher IT-Systeme sind vorzuhalten. Die Anwendung umfassender und aktualisierter administrativer und technischer Absicherungsmaßnahmen gegen Eingriffe von Innentätern in das System ist auch bedeutsam.

Quellen:

Lischka, K../Stöcker, C.: Angriff von “Roter Oktober” Code: Das Spionageprogramm prüft die Internetverbindung über einen Anruf bei Microsoft, Spiegel online, 13.01.2013.