Operation "Roter Oktober" Massiver Spionageangriff trifft Einrichtungen in Osteuropa

Botschaften, Atomkonzerne, Forschungsinstitute - die Liste der Opfer der Spionagekampagne "Roter Oktober" ist brisant. Vor allem in Osteuropa und Zentralasien soll das Schadprogramm geheime Daten ausspioniert haben. Und es noch immer tun.

Seit mehreren Jahren seien Computer und Netzwerke systematisch nach hochsensiblen Dokumenten mit vertraulichen geopolitischen Inhalten durchsucht worden, teilte das auf Antivirus-Software spezalisierte russische Unternehmen Kaspersky Lab mit. Zudem sollen Zugänge zu gesicherten Computersystemen ausspioniert sowie Daten aus persönlichen mobilen Geräten und von Netzwerk-Komponenten gesammelt wordern sein.

Wer die Angreifer sind, konnte Kaspersky nicht ermitteln. Die Firma geht aber davon aus, dass die Angreifer eine russischsprachige Herkunft haben. Dies bedeute aber nicht, dass staatliche Stellen in Russland die Spionageaktion in Auftrag gegeben hätten.

Die Operation Roter Oktober sei im vergangenen Oktober entdeckt worden, Kaspersky gehe jedoch davon aus, dass die Aktion schon im Jahr 2007 begonnen habe, zitiert die Nachrichtenagentur dpa einen Mitarbeiter des Unternehmens. Neben Botschaften und Regierungsorganisationen seien vor allem Forschungsinstitute, Energie- und Atomkonzerne, Handelsorganisationen und Einrichtungen der Luft- und Raumfahrt von den Angriffen betroffen gewesen. Die Attacke laufe derzeit noch immer.

Lücken in Word und Excel

Die Angreifer nutzen nach Angaben von Kaspersky Schwachstellen in den Microsoft-Programmen Word und Excel aus. Für die gibt es zwar bereits Sicherheitsaktualisierungen, aber viele Anwender haben diese noch nicht installiert. Die Angreifer schickten infizierte E-Mails an ihre Opfer, um die Schwachstellen auszunutzen.

Außerdem würden von den Spionen manipulierte Erweiterungen für den Acrobat Reader von Adobe sowie Microsofts Office-Programm eingesetzt, mit denen auf den befallenen Rechnern Programme ausgeführt werden können. Auf diesem Weg sei es für die Angreifer möglich, auch dann auf das Zielsystem zugreifen zu können, wenn der eigentliche Kern der Schadsoftware bereits entdeckt und entfernt oder das System mit einem Sicherheitsupdate gesichert wurde.

Die Spione haben es vor allem auf Dateien mit der Endung ".acid" abgesehen, die von der Software "Acid Cryptofiler" erzeugt werden. Dieses Verschlüsselungsprogramm wird nach Angaben von Kaspersky von verschiedenen öffentlichen Einrichtungen genutzt. Unter ihnen sind die Europäischen Union und die Nato. Kontrolliert wurden die Angriffe von mehr als 60 Servern, die vor allem aus Deutschland und Russland stammten. Diese Infrastruktur dient auch dazu, die Identität des eigentlichen Kontrollsystems zu verbergen.