Seit mindestens fünf Jahren verschaffen sich die Hintermänner einer hochprofessionell angelegten Cyberspionagekampagne brisante Informationen aus Politik und Forschung.
Antivirenexperten haben Anfang dieses Jahres die bislang größte Cyberspionage-Kampagne des Computerzeitalters aufgedeckt. Täglich kommen neue Details des weltweiten Spionageangriffs ans Tageslicht, mit dem seit fünf Jahren gezielt geheimste Informationen von Regierungsorganisationen, diplomatischen Einrichtungen und Forschungsinstituten in der ganzen Welt kopiert wurden. Wie die Antivirenforscher des Kaspersky Lab berichten, waren die Hauptziele nach den bisherigen Erkenntnissen zwar entsprechende Einrichtungen in Osteuropa und Zentralasien, aber auch in Europa und Nordamerika griffen die digitalen Spione fleißig Daten ab. Erbeutet wurden dabei vor allem Dokumente mit vertraulichen geopolitischen Inhalten, sowie auch Zugangsdaten zu gesicherten Systemen und Netzwerken der politischen Organisationen. Selbst die Smartphones von Diplomaten und anderen Geheimnisträgern wurden dazu ausgehorcht. Kaspersky geht außerdem davon aus, dass die Cyberspione noch immer aktiv sind.
Aufgeflogen war die Aktion erst, nachdem im Herbst immer mehr gezielte Angriffe auf diplomatische Einrichtungen bekannt geworden waren. Daraufhin hatte Kaspersky die »Operation Roter Oktober« ins Leben gerufen. Bei dieser weitläufigen Ermittlung fanden die Experten immer mehr Details heraus, bis sich ihnen schließlich gegen Ende 2012 die volle Dimension des Angriffs klar darstellte. Wie sich inzwischen herausgestellt hat, verwendeten die bislang unbekannten Hintermänner eine eigens für diesen Zweck entwickelte, hoch flexible Schadsoftware namens Rocra. Diese ist modular aufgebaut, so dass je nach Einsatzzweck und Angriffsziel verschiedene Technologien und Virenbestandteile zum Einsatz gebracht werden können. Indem Rocra gezielt Sicherheitslücken in Systemen und Netzwerken ausfindig macht und Hintertürchen öffnet, kann die Software auch während auch während ihres sinistren Werkes durch das Nachladen neuer Bestandteile stetig angepasst werden. Einzigartig ist auch eine Art Wiederbelebungsfunktion: Mittels eines in den Adobe Acrobat Reader oder Microsoft Office eingeschleusten Plugins kann der Schädling durch die Zusendung speziell präparierter Dokumente selbst auf bereits bereinigten Systemen erneut aktiviert werden.
Wie die Kaspersky-Experten herausfanden, fand die Infektion der Organisationen meist über auf jedes Ziel speziell zugeschnittene »Dropper-Trojaner« statt. Diese wurden über zielgerichteten Spear-Phishing-E-Mails in die Systeme eingeschleust und setzten sich anschließend dort fest. In den Zielsystemen sucht Rocra dann sehr präzise nach Dateien die mit militärischen Verschlüsselungsprogrammen geschützt sind, wie sie etwa die NATO verwendet. Neben Regierungsstellen sind unter den Opfern auch andere kritische Einrichtungen wie Energie- und Atomkonzerne, Luft- und Raumfahrtunternehmen, sowie weltweit tätige Handelskonzerne und –Organisationen.