Roter Oktober – Aurora-Kanonen werden nicht mehr abgefeuert!

Kaspersky Lab hat heute einen neuen Bericht veröffentlicht, der einen neuen Cyberspionageangriff identifiziert, der seit mindestens fünf Jahren weltweit diplomatische, staatliche und wissenschaftliche Forschungsorganisationen angreift. Die Angriffsserie richtet sich in erster Linie gegen osteuropäische Länder, Mitglieder der ehemaligen Sowjetunion und Zentralasien, doch kommt es überall, auch in Westeuropa und Nordamerika, zu Vorfällen.

Die Angreifer zielen darauf ab, wichtige Dokumente von Unternehmen zu stehlen, darunter geopolitische Informationen, Authentifizierungen, die für den Zugriff auf Computersysteme erforderlich sind, und persönliche Informationen von mobilen Geräten und Netzwerkgeräten.

Im Oktober 2012 leitete Kaspersky Lab eine Expertenuntersuchung zu einer Reihe von Angriffen auf Computersysteme internationaler diplomatischer Organisationen ein, die ein groß angelegtes Cyberspionagenetzwerk aufdeckten. Kaspersky Lab berichtet, dass die Operation Red October, abgekürzt als „Rocra“, noch aktiv ist und 2007 beginnen wird.

Wichtigste Forschungsergebnisse:

Red October ist ein fortschrittliches Cyber-Spionage-Netzwerk: Angreifer sind seit mindestens 2007 aktiv und konzentrieren sich hauptsächlich auf diplomatische und staatliche Stellen weltweit, aber auch auf Forschungsinstitute, Energie- und Nuklearkonzerne sowie Handels- und Luftfahrtorganisationen. Die Kriminellen des Roten Oktobers haben einen eigenen Schädling entwickelt, den Kaspersky Lab als „Rocra“ identifiziert hat. Diese Malware verfügt über einen einzigartigen modularen Aufbau mit bösartigen Erweiterungen, auf Datendiebstahl spezialisierten Modulen und sogenannten „Backdoor“-Trojanern, die unbefugten Zugriff auf das System und damit die Installation zusätzlicher Malware und den Diebstahl persönlicher Daten ermöglichen.

Angreifer verwenden häufig Informationen, die aus infizierten Netzwerken extrahiert wurden, um Zugriff auf zusätzliche Systeme zu erhalten. Beispielsweise können gestohlene Authentifizierungen Hinweise auf Passwörter oder Phrasen liefern, die für den Zugriff auf zusätzliche Systeme erforderlich sind.

Um das Netz der infizierten Rechner zu kontrollieren, richteten die Angreifer mehr als 60 Domainnamen und eine Reihe von Server-Hosting-Systemen in verschiedenen Ländern ein, die meisten davon in Deutschland und Russland. Eine Analyse der C&C-Infrastruktur (Command & Control) von Rocra zeigte, dass die Serverkette tatsächlich als Proxy fungierte, um das „Mutterschiff“, also den Standort des Kontrollservers, zu verbergen.

Dokumente, die gestohlene Informationen von infizierten Systemen enthalten, umfassen die folgenden Erweiterungen: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Die Erweiterung „acid“ kann sich auf die Software „Acid Cryptofiler“ beziehen, die von vielen Institutionen von der Europäischen Union bis zur NATO verwendet wird.

Die Opfer

Um das System zu infizieren, schickten Kriminelle gezielte „Spear-Phising“-E-Mails mit einem personalisierten Trojaner „Dropper“, einem Virus, der sich selbst reproduzieren konnte. Um die Malware zu installieren und Ihr System zu infizieren, enthielt die bösartige E-Mail Exploits, die Schwachstellen in Microsoft Office und Microsoft Excel ausnutzten. Die Exploits in der Phishing-Nachricht wurden von anderen Angreifern erstellt und bei verschiedenen Cyberangriffen eingesetzt, darunter tibetische Aktivisten sowie Militär- und Energieziele in Asien. Das einzige, was das von Rocra verwendete Dokument unterscheidet, ist die einbettbare ausführbare Datei, die die Angreifer durch ihren eigenen Code ersetzt haben. Bemerkenswert ist, dass einer der Befehle im Trojaner-Dropper die Standard-Systemcodepage der Befehlszeile in 1251 geändert hat, die für die kyrillische Schriftart erforderlich ist.

Ziele

Die Experten von Kaspersky Lab verwendeten zwei Methoden, um die Ziele zu analysieren. Einerseits basieren sie auf den Cloud-basierten Sicherheitsdienst-Erkennungsstatistiken des Kaspersky Security Network (KSN), die von den Produkten von Kaspersky Lab verwendet werden, um Telemetrie zu melden und erweiterten Schutz durch Blacklists und heuristische Regeln zu bieten. Bereits 2011 entdeckte KSN den in der Schadsoftware verwendeten Exploit-Code, was einen zusätzlichen Überwachungsprozess im Zusammenhang mit Rocra auslöste. Die zweite Methode der Forscher bestand darin, ein System namens „Sinkhole“ zu erstellen, um das infizierte System zu verfolgen, das mit den C&C-Servern von Rocra verbunden war. Die durch die beiden unterschiedlichen Verfahren erhaltenen Daten bestätigten unabhängig voneinander die Ergebnisse.

• KSN-Statistiken: Das KSN hat Hunderte von einzigartigen infizierten Systemen entdeckt, von denen die meisten Botschaften, Regierungsnetzwerke und -organisationen, wissenschaftliche Forschungsinstitute und Konsulate betreffen. Nach den von KSN gesammelten Daten stammt der Großteil der infizierten Systeme aus Osteuropa, aber auch in Nordamerika und westeuropäischen Ländern, der Schweiz und Luxemburg wurden Vorfälle festgestellt.
• Sinkhole-Statistik: Die Sinkhole-Analyse von Kaspersky Lab dauerte vom 2012. November 2 bis zum 2013. Januar 10. In dieser Zeit wurden in 250 Ländern mehr als 55 Verbindungen von 0000 infizierten IP-Adressen erfasst. Die meisten infizierten IP-Verbindungen kamen aus der Schweiz, Kasachstan und Griechenland.

Rocra-Malware: einzigartige Struktur und Funktionalität

Die Angreifer haben eine multifunktionale Plattform geschaffen, die eine Reihe von Plug-Ins und bösartigen Dateien enthält, um sich leicht an unterschiedliche Systemkonfigurationen anzupassen und intellektuellen Wert aus infizierten Maschinen zu gewinnen. Diese Plattform ist einzigartig für Rocra, Kaspersky Lab hat in früheren Cyber-Spionage-Kampagnen nichts Ähnliches gesehen. Seine Hauptmerkmale sind:

• „Resurrect“-Modul: Dieses einzigartige Modul ermöglicht es Angreifern, infizierte Computer wiederzubeleben. Das Modul ist als Plug-in in Adobe Reader- und Microsoft Office-Installationen eingebettet und bietet Kriminellen eine sichere Möglichkeit, wieder Zugriff auf das Zielsystem zu erhalten, falls der Hauptteil der Malware entdeckt und entfernt wird oder Sicherheitslücken im System auftreten sind repariert. Nachdem die C&Cs wieder funktionieren, senden die Angreifer eine spezielle Dokumentdatei (PDF oder Office) per E-Mail an den Computer des Opfers, die die Malware reaktiviert.
• Erweiterte Spionagemodule: Der Hauptzweck von Spionagemodulen besteht darin, Informationen zu stehlen. Dazu gehören Dateien aus verschiedenen Verschlüsselungssystemen, wie beispielsweise Acid Cryptofiler, der von Organisationen wie der NATO, der Europäischen Union, dem Europäischen Parlament und der Europäischen Kommission verwendet wird.
• Mobilgeräte: Malware kann nicht nur herkömmliche Workstations angreifen, sondern auch Daten von Mobilgeräten wie Smartphones (iPhone, Nokia und Windows Mobile) stehlen. Darüber hinaus sammelt die Malware Konfigurationsdaten aus gelöschten Dateien von Unternehmensnetzwerkgeräten wie Routern, Switches und Wechselfestplatten.

Zu den Angreifern: Basierend auf den Registrierungsdaten der C&C-Server und einer Reihe von Überresten, die in den ausführbaren Dateien der Malware gefunden wurden, weisen starke technische Beweise auf die russische Herkunft der Angreifer hin. Darüber hinaus waren die von Kriminellen verwendeten ausführbaren Dateien bisher unbekannt und die Experten von Kaspersky Lab haben sie in ihren früheren Cyber-Spionage-Analysen nicht identifiziert.

Mit seiner technischen Expertise und seinen Ressourcen wird Kaspersky Lab in enger Zusammenarbeit mit internationalen Organisationen, Strafverfolgungsbehörden und nationalen Netzwerksicherheitszentren Rocra weiterhin untersuchen.

Kaspersky Lab möchte dem US-CERT, den rumänischen CERTs und dem belarussischen CERT für ihre Unterstützung bei der Untersuchung danken.

Die als Backdoor.Win32.Sputnik klassifizierten Produkte von Kaspersky Lab wurden erfolgreich erkannt, blockiert und wiederhergestellt.