Kaspersky gibt weitere Details zu "Roter Oktober" heraus
So ausgeklügelt die Spionageaktion auch war – "Flame" bleibt in Augen Kasperskys die Königinmutter der Spionagetrojaner.
In dem zweiten Teil von Kaspersky Labs' Analyse der Operation Roter Oktober werden die technischen Details der groß angelegten Cyberspionage offen gelegt. Kaspersky führt dort noch einmal genauer auf, wie die verschiedenen Module für den Datenklau ineinander griffen.
Unter anderem erstreckte sich die Spionage nicht nur auf PCs, sondern umfasste auch den Datenklau von Mobiltelefonen, die an die Rechner angeschlossen wurden. So gibt es eigens Werkzeuge für iPhones und Nokia-Smartphones. Sobald ein solches Smartphone angeschlossen wurde, hat das Modul auf dem Gerät nach Fotos, Office-Dokumenten, Sprachaufzeichnungen und weiteren potenziell interessanten Dateitypen gesucht. Auf Windows-Mobile-Smartphones hat das Trojaner-Modul beim Kontakt mit dem Rechner sogar eine Spionagesoftware kopiert.
Außerdem verließen sich die Initiatoren nicht nur auf ein übliches Backdoor-Programm, sondern hielten ein ungewöhnliches Arsenal vor – in diesem Fall waren das beispielsweise Plug-ins für Adobes Acrobat Reader und Microsoft Office, die kaum von Antiviren-Programmen gefunden wurden. Auf diesem Weg konnten infizierte Systeme selbst nach einer Reinigung mit Antivirensoftware schnell wieder gekapert werden: Die Opfer wurden dann einfach wieder mit PDF- oder Office-Dateien versorgt, in denen verschlüsselter Schadcode enthalten war. Die Plug-ins warteten darauf, dass ein solches Dokument geöffnet wurde, entschlüsselten den Schadcode und führten ihn schließlich aus.
Trotz dieser Eigenschaften gilt die Operation Roter Oktober, die mit einer Malware-Familie namens Sputnik betrieben wurde, selbst bei Kaspersky Labs nach eingehender Analyse nicht als die bisher beeindruckendste Spionageaktion. Kasperskys Sicherheitsforscher Kurt Baumgartner unterstrich gegenüber Ars Technica: "Meiner Meinung nach ist Flame die Königinmutter der besonders fortschrittlichen Angriffsmethoden." Flame steche so aus den Spionagetrojanern hervor, da dieser Trojaner Microsofts Update-Funktion manipulierte und sich so von einer infizierten Maschine zur nächsten hangelte.
Die Operation Roter Oktober beziehungsweise "Rocra" soll letztlich, nach ungefähr fünf Jahren im Verborgenen, durch menschliches Versagen aufgefallen sein, wie das IT-Pro-Portal schreibt. Kaspersky Lab gibt an, dass sie auf Anfrage eines Kunden tätig wurden. Von ihnen eingesetzte Test-Rechner, die mit den Schädlingen infiziert wurden, ermöglichten die genaue Analyse. (kbe)
