Russland, Europa, USA - jahrelang erbeutet ein weltweit agierendes Spionagenetzwerk Informationen von Regierungen und sendet sie auch an Server in Deutschland. Nun fliegt das System auf. Die Drahtzieher handeln blitzschnell.

Der Sicherheitsdienstleister Kaspersky hat ein globales Spionagenetzwerk aufgedeckt. Nachdem das Unternehmen die Ergebnisse seiner Jagd auf die technische Struktur veröffentlichte, zogen sich die Angreifer zurück.

Von den Cyber-Angriffen betroffen waren Kaspersky zufolge vor allem Botschaften und Regierungseinrichtungen, aber auch wissenschaftliche Forschungsinstitute und Militärorganisationen. Dazu gehören etwa Desktop-Computer und Handys von Beschäftigten. Attackierte Fabrikate waren iPhones, Nokia- sowie Windows-Mobile-Geräte. Ziel der Spionagekampagne war, geopolitische Informationen der betroffenen Nationen zu sammeln.

Seit 2007 im Einsatz

Etwa fünf Jahre lang soll das Spionagenetzwerk aktiv gewesen sein. Erst im Oktober 2012 waren die Experten auf die weltweite Serie von Hackerangriffen aufmerksam geworden. Rund drei Monate waren die Mitarbeiter der Kaspersky Labs danach auf der Suche nach der Arbeitsweise des vielleicht umfassendsten Cyber-Spionagenetzwerkes überhaupt. Das russische Unternehmen Kaspersky ist auf Schadsoftware, Viren, aller Art von Kriminalität und Grauzonen im digitalen Bereich spezialisiert.

Warum das Sicherheitsunternehmen ihr Projekt zunächst im Verdeckten durchführte, wird schnell klar: Bereits am Abend nach der Veröffentlichung begannen die Angreifer, die Infrastruktur abzubauen. "Zur gleichen Zeit wurden Server abgeschaltet und die Domain-Namen gelöscht", zitiert TechWeekEurope Costin Raiu, einen leitenden Sicherheitsexperten bei Kaspersky.

In ihrer detaillierten Analyse kommt das Sicherheitsunternehmen zum Schluss, dass russischsprachige Programmierer das System in Code gossen. Wohl auch deshalb nennt Kaspersky das Netzwerk "Roter Oktober", angelehnt an Tom Clancys bekannten Roman "Jagd auf Roter Oktober". Eine Beauftragung von staatlicher Seite schließen die Experten aus. Eine Vermutung ist, dass die Informationen im Untergrund an Interessierte verkauft werden.

Deutsche Botschaft betroffen

Im Fokus der Spionage standen offenbar Russland und osteuropäische Staaten. Auch Deutschland ist auf der Liste der betroffenen Länder zu finden, genauso wie die Vereinigten Staaten, Frankreich oder Italien. Im Detail ist demnach eine deutsche Botschaft betroffen, ebenso eine diplomatische Vertretung der USA. "Es gibt noch immer ein paar aktive Server, aber die Infrastruktur funktioniert größtenteils nicht mehr", sagte Raiu.

Um an das gewünschte Material heranzukommen, nutzten die Angreifer im ersten Schritt eine gängige Methode: Sie verschickten auf die Zielperson zugeschnittene E-Mails samt schädlicher Software im Anhang, etwa als Word-, Excel- oder PDF-Datei. Öffnete die Person das Dokument, aktivierte sich der Code; die Hintertür war damit offen. Die Angreifer konnten nun jegliche gewünscht Komponente hinzufügen. Dabei konnte die Schadsoftware eigenmächtig handeln und eine Verbindung aufbauen. Sogar gelöschte Dateien von USB-Sticks wurden wiederhergestellt und verschickt.

Gestohlen wurden den Angaben zufolge etwa auch Verschlüssungskomponenten des "Acid Cryptofilter", die seit 2011 auch das EU-Parlament und die EU-Kommission verwenden. Der Trojaner verschlüsselte die gesammelten Informationen und versandte sie an einen der beteiligten Server. Über 60 soll es davon gegeben haben. Den Angaben zufolge standen die meisten zurückverfolgten Maschinen bei einem deutschen Web-Provider.

Noch detaillierter soll ein zweiter Teil der Analyse sein, heißt es bei Kaspersky. Die Sicherheitsexperten kündigten an, das Dokument demnächst zu veröffentlichen.