1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen

Virus "Roter Oktober"

Silke Wünsch/dpa15. Januar 2013

Seit Jahren läuft ein groß angelegter Cyber-Angriff. Erst jetzt wurde er entdeckt. Denn "Roter Oktober" hat sich so gut getarnt, dass er über Jahre unbemerkt Server und Netzwerke ausspionieren konnte.

https://p.dw.com/p/17KPb
Computer-Code auf Bildschirm Foto: Oliver Berg (dpa)
Bild: picture-alliance/dpa

Wie das gleichnamige U-Boot in Tom Clancys Roman "Jagd auf Roter Oktober" hat sich Computervirus "Rocra" unbemerkt durch die Datenleitungen geschlichen. In Ruhe konnte sich die Schadsoftware auf Servern einnisten und dort Informationen sammeln. Computer und Firmennetzwerke wurden angezapft und nach hochsensiblen geopolitischen Daten durchsucht. Hochsensibel deswegen, weil zumeist Regierungsorganisationen und Einrichtungen der Forschung und des Militärs ausgespäht wurden. Besonders betroffen sind Einrichtungen in Osteuropa und Zentralasien. Aber auch europäische und nordamerikanische Stellen sind angezapft worden.

Fachleute der russischen Sicherheitssoftware-Firma Kaspersky Lab haben Rocra (kurz für "Roter Oktober") im vergangenen Oktober entdeckt und gehen davon aus, dass er schon seit 2007 in den Systemen unterwegs ist. Woher die Angreifer kommen, können die Cyberspionage-Experten nicht sagen. Möglicherweise seien die Angreifer russischer Herkunft, sagte Kaspersky-Sprecher Magnus Kalkuhl der Nachrichtenagentur dpa. "Das heißt aber nicht, dass staatliche Stellen in Russland die Spionage-Aktion in Auftrag gegeben haben, denn russischsprachige Programmierer gibt es in vielen Ländern."

Angriff per E-Mail

Schwachstellen der von Millionen genutzten Windows-Office Programme wurden geschickt ausgenutzt, um Rocra zu platzieren. Die Angreifer haben nach Erkenntnissen von Kaspersky infizierte E-Mails an ihre Opfer verschickt. Wer den Anhang dann mit Microsoft Word oder Excel öffnete, ließ den Trojaner auf seinen Computer. Der Acrobat-Reader und das gesamte Office-Paket von Microsoft konnten mit unbemerkten bösartigen Erweiterungen Programme im Hintergrund öffnen, um dann Zugriff auf sensible Daten zu bekommen. Gesucht wurden vor allem Informationen, die mit bestimmten Programmen verschlüsselt worden waren. EU und NATO nutzen solche Programme.

Suizidkommando

Ausschnitt des Quellcodes des Computer-Schädlings Flame Foto: Kaspersky.com (dpa)
Computervirus Flame: eine neue Cyberwaffen-GenerationBild: picture-alliance/dpa/Kaspersky.com

Erst im vergangenen Mai hat eine ähnliche Schadsoftware Einrichtungen im Nahen und Mittleren Osten befallen. "Flame" sammelte ähnlich unauffällig wie Rocra Daten, vor allem im Iran und in Israel. Es sah aus wie ein Trojaner, konnte aber nicht nur in einer dunklen Ecke lauern und Daten sammeln sondern auch selbständig kleine Programmroutinen ausführen: Gespräche und Tastatureingaben aufzeichnen, Bildschirmfotos machen. Schon da sagten die Experten von Kaspersky, dass mit Flame eine neue Generation von Cyberwaffen entwickelt worden sei.

Zeitweise wurden sogar Regierungen verdächtigt, hinter den Angriffen zu stecken. Richtig untersuchen konnten die Antivirus-Experten die befallenen Computer nicht. Denn kurz nach seiner Entdeckung erhielt Flame den Befehl, sich selbst zu zerstören.

Wer nun Rocra auf die Reise geschickt hat, ist noch offen. Kaspersky Lab kann lediglich vermuten, dass eine Gruppe Hacker unbekannter Nationalität hinter der Attacke steckt. Ein Nationalstaat wird diesmal nicht verdächtigt. Wohl aber könnten sich einige Regierungen für die Beute interessieren. Immerhin sind die Informationen, die Rocra beschaffen kann, von großem Wert und könnten unter der Hand meistbietend verkauft werden, vermuten Kaspersky-Forscher.