Die Red-October-Malware-Kampagne enthüllt: Was Unternehmen davon lernen können

Red October hat jahrelang unentdeckt sein Unwesen getrieben. Unser Experte analysiert die Techniken der Malware und hat Ratschläge für Security-Teams.

Die Security-Forensics-Community hat es mit einigen erstklassigen und professionellen Untersuchungen bezüglich Flame und Gauss in die Schlagzeilen geschafft. Kaspersky Labs veröffentlichte Anfang 2013 einen umfangreichen Bericht über die Red-October-Angriffe. Die sorgfältige Analyse liefert interessante Einblicke.

Kasperkys Untersuchung hat ergeben, dass Red October bis zu seiner Entdeckung mindestens fünf Jahre unerkannt sein Unwesen getrieben hat. Cyberspionage ist nichts neues, allerdings ist sie heutzutage wesentlich fortgeschrittener und ausgeklügelter. Es ist nicht einmal unüblich, dass Cyberkriminelle Unternehmen infiltrieren und der Angriff über Monate oder sogar Jahre unentdeckt bleibt. Durch die Analyse solcher fortgeschrittener Angriffe können Firmen aber wichtige Lektionen lernen.

In diesem Tipp sprechen wir über die Red-October-Malware-Kampagne und was Security-Teams lernen können, um künftige Angriffe zu erkennen.

Die Red-October-Malware-Kampagne aufgeschlüsselt

Seit mindestens 2007 hatte Red October mehrere hundert Opfer im Visier. Die Malware-Schreiber hatten es auf wissenschaftliche Arbeiten, Diplomaten, Regierungen und Hilfsorganisationen rund um den Globus abgesehen. Die meisten davon befanden sich allerdings in Osteuropa. Kaspersky Labs geht davon aus, dass die Red-October-Module von russisch sprechenden Programmierern entwickelt wurden. Die Exploit-Entwicklung schreiben Sie chinesischen Hackern zu. Das lässt sich angeblich aus den Texten und Namen der Malware schließen.

Die Kampagne wurde dabei ähnlich geführt, wie das auch bei anderen prominenten Angriffen der Fall war. Begonnen hat die Sache mit einem Phishing-Angriff, der einen schädlichen Anhang im Gepäck hatte. Sobald der Code ausgeführt wurde, hat die Malware Sicherheitslücken in Microsoft Office und Java ausgenutzt. Im Anschluss haben sich Backdoors und temporäre ausführbare Dateien Zugriff zu lokalen Systemen ergaunert. Somit wurde ein permanenter Zugriff realisiert. Nun hat die Malware Module benutzt, um Passwörter zu stehlen, Tastaturanschläge zu überwachen und das System auszuspionieren. Weiterhin hat Red October nach anderen verwundbaren Geräten Ausschau gehalten. Die Absicht hinter dem Angriff war das Ergaunern von Login-Daten oder Systeminformationen, mit denen man sich an wichtigen Systemen anmelden und dementsprechend Datenklau betreiben konnte. Die Malware hat Befehle von einem C&C-Server (Command and Control) erhalten. Von diesem wurde sie auch mit neuen Modulen versorgt. Weiterhin hat der Schadcode gesammelte Daten an die C&C-Infrastruktur geschickt. Diese hat sich wiederum Proxies zu Nutze gemacht, um den Master-Server im Geheimen zu halten.

Die Red-October-Kampagne brachte diverse einzigartige Komponenten mit sich und unterschied sich so von bisher dagewesenen Malware-Angriffen. Dazu gehörte auch ein umfangreiches Auskundschaften der angegriffenen Netzwerke. Die Cyberkriminellen haben ganz offenbar viel Zeit in die Planung des Angriffs und des Frameworks investiert. Jedem Zielsystem wurde eine eigene ID spendiert. Somit konnten die Angreifer diese sehr genau verfolgen. Je nach Ausmaß Waren die Angreifer über diese ID in der Lage, das komplette Netzwerk und die dort infizierten Geräte zu analysieren und zu kontrollieren. Durch dieses Tracking-System konnten die Angreifer Malware gezielt einsetzen und sicherstellen, dass dieselbe Malware nicht noch einmal verwendet wurde. Somit unterliefen sie den Radar der Antiviren-Scanner über mehrere Jahre. Die schädliche Software hatte sogar eine Funktion, die bei Erhalt eines bestimmten Anhangs die Verbindung zu seiner C&C-Infrastruktur herstellte. Somit ließen sich potentiell wichtige Dokumente und Daten schneller extrahieren.

Ungewöhnlich war auch der Einsatz von systemnahen NTFS-APIs. Dadurch konnte die Malware nach gelöschten Daten suchen und diese gezielt wiederherstellen. Während der Netzwerk-Scans suchten die Red-October-Betreiber nach Cisco-Routern, die man möglicherweise für weitere Angriffe auf das Netzwerk ausnutzen konnte. Sogar SIP-Konfigurations-Daten haben die Malware-Betreiber gesammelt und konnten so unter Umständen Telefongespräche abhören. Weiterhin hat man gezielt Daten von iPhones, sowie Nokia- und Windows-Smartphones abgegriffen.

Reaktionen auf Red October: Existierende Kontrollmechanismen begutachten und neue in Betracht ziehen

Red October hat im Prinzip Angriffs-Techniken benutzt, gegen die Unternehmen bereits gefeit sein sollten. Das setzt aber einige grundlegende Security-Mechanismen voraus. Haben Firmen immer noch nicht begriffen, wie wichtig starke Authentifizierungs-Methoden, schnelles Patchen und Netzwerk-Monitoring sind, finden Sie sich wahrscheinlich unter den Opfern von Red-October-ähnlichen Angriffen wieder. Darüber hinaus sollte man weitere Schutz-Mechanismen in Betracht ziehen. Durch White Listing können Sie verhindern, dass sich unautorisierte Programme auf einem System ausführen lassen. Derzeit wächst der Markt für Produkte, die Unregelmäßigkeiten erkennen und melden. FireEye und Damballa wären solche Beispiele. Starke Zwei-Faktor-Authentifizierung ist nicht neu. Damit können Sie aber Angriffe auf Login-Daten entschärfen.

Red October sollte als ein Mahnmal gelten und die Richtung zeigen, in die sich fortgeschrittene Angriffe bewegen. Die Malware wurde flächendeckend eingesetzt und brachte eine Vielzahl an Funktionen mit sich. Spätestens jetzt sollten die Security-Teams von Unternehmen realisieren, dass sie für eine erfolgreiche Verteidigung die Schutzwälle anpassen müssen. Wie auch bei anderen von Erfolg gekrönten Angriffen gilt, dass sich Cyberkriminelle von Red October inspirieren lassen werden. Böswillige Hacker versuchen mit Sicherheit ähnliche Methoden, auch wenn diese nun schon bekannt sind. Unternehmen müssen sich darauf einstellen, dass die kommenden Jahre ähnlich ausgefeilte Malware wie Red October mit sich bringen. Auch weniger gewitzte Angreifer bedienen sich mit Sicherheit der hier erwähnten Methoden. Die Security-Teams sollten die vorhandenen Umgebungen genau durchleuchten und dann beurteilen, welche Bereiche sich verbessern lassen. Nur so können Unternehmen ähnliche Angriffe erfolgreich abwehren.

Über den Autor: Nick Lewis (CISSP) ist ein Security-Experte an der Saint Louis University. Er hat seinen Abschluss als „Master of Science“ in Informationssicherheit an der Norwich University im Jahre 2005 gemacht und den in Telekommunikation im Jahre 2002 an der Michigan State University. Vor seiner Anstellung an der Saint Louis University im Jahre 2011 hat Lewis an der University of Michigan und im Children's Hospital Boston gearbeitet. Weitere Stationen seiner Laufbahn waren Internet2 und die Michigan State University.

Artikel wurde zuletzt im Juni 2013 aktualisiert

Erfahren Sie mehr über Email-Schutz

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close