Mehr als 60 Kontrollrechner haben das global arbeitende Spionagenetzwerk gesteuert. Über mindestens fünf Jahre hinweg sind Computer in Amerika, West- und Osteuropa, auf der Arabischen Halbinsel und in Teilen Asiens gezielt ausgespäht worden. Diplomatenpost, Forschungsergebnisse und sensible Daten, die Aufschluss geben über die Steuerung von Öl- und Gasförderanlagen und -pipelines, sind genauso erbeutet worden wie Regierungsdokumente und hochsensible virtuelle Blaupausen aus kerntechnischen Anlagen.
„In Washington, Moskau und Brüssel herrscht Alarmstufe Rot“, berichtet ein führender Cybercrime-Experte von Interpol. Und in den Schadsoftware-Laboratorien des Antivirenherstellers Kaspersky an der Volokolamskly-Passage in Moskau gehen seit Wochen die Lichter nicht mehr aus. Fieberhaft enttarnen die Netzspezialisten einen Kontrollserver des Spionagenetzwerks nach dem anderen, akribisch ermitteln sie, welche Sicherheitslücken die Trojaner und andere Angriffsprogramme sowie Schnüffelsoftware ausgenutzt haben, um auf so viele eigentlich hochgesicherte Computersysteme von Regierungen, Militärbasen und Forschungslabors zu kommen.
Kommentare in russischer Sprache
Bestürzend ist die Erkenntnis, dass ein Großteil der Spionageangriffe über bereits bekannte Sicherheitslücken lief. Teilweise waren die auf diese Lücken aufsetzenden Exploits genannten Angriffsprogramme bereits in den Jahren 2005 bis 2007 dokumentiert. Die bisher gefundene Schadsoftware ist enorm anpassungsfähig. Mehr als tausend teilweise miteinander vernetzte Schadprogramme haben die Virenjäger in der Volokolamskly-Passage bisher gefunden. Und noch immer stoßen sie auf neue digitale Spionagewerkzeuge.
Gut dreißig unterschiedliche Schnüffelmodule sind inzwischen rekonstruiert worden. „Dropper“ genannte eigens für ganz spezielle Angriffe programmierte Transport-Trojaner haben die Schadsoftware ins Ziel gebracht. Dabei haben die Täter Sicherheitslücken in Adobes Acrobat Reader und in Programmen der Office-Suite von Microsoft elegant ausgenutzt. Auch diese Programmfehlfunktionen und Angriffsmöglichkeiten waren seit langem bekannt und in Fachkreisen diskutiert.
Sowohl die Spionagemethoden als auch die Transporttechniken der Schadsoftware sind zum Teil bereits auf der Moskauer Sicherheitskonferenz im Dezember 2003 diskutiert worden. Selbst die Spionagewerkzeuge für Smartphones, die bisher identifiziert worden sind, wurden mehrfach auf verschiedenen Konferenzen vorgestellt und besprochen. Die Softwarewerkzeuge, um aus Smartphones Wanzen zu machen, sind beispielsweise im Jahr 2011 auf einer Sicherheitsmesse in Dubai von russischen und chinesischen Kunden geordert worden. Und nach Moskau und Peking zeigen denn auch im Falle von Roter Oktober einige Spuren. So tauchen im entschlüsselten Programmcode Kommentare in russischer Sprache auf. Außerdem sind einige Schadprogramme auf Computersystemen erstellt worden, auf denen ein chinesischer Zeichensatz installiert war.
Mit dem Ausspähen lässt sich viel Geld verdienen
Das hat natürlich sofort die Frage laut werden lassen, ob die russische oder chinesische Regierung hinter diesen langjährigen Spionageattacken stecken. Die Experten von Kaspersky sind sich hier mit Analytikern der europäischen Polizeiorganisation Europol und unabhängigen Sicherheitsspezialisten einig, dass bislang keine Anzeichen vorliegen, wonach Regierungsstellen hinter diesem Angriff stecken. „Es handelt sich aber auch nicht um Einzeltäter“, meint ein Schweizer Computerforensiker, der aus Sicherheitsgründen seinen Namen nicht in der Zeitung lesen will.
Vielmehr verdichten sich die Anzeichen, dass die organisierte Kriminalität hinter dem Spionagenetzwerk „Roter Oktober“ steckt. In Schweizer Sicherheitskreisen wird der Entwicklungsaufwand auf mehrere hundert „Mannjahre“ geschätzt. Da muss eine finanzkräftige Organisation mit exzellenter Projektkoordination dahinter stecken“, schätzt ein Europol-Analyst aus dem neu errichteten Cybercrime-Center der Europäischen Union in Den Haag. Sowohl mit Wirtschaftsspionage als auch mit dem Ausspähen von Regierungscomputern lässt sich viel Geld verdienen. Entwicklungspläne, Konstruktionsdaten oder Marketingstrategien lassen sich an Konkurrenten des ausgespähten Unternehmens zu hohen Preisen verkaufen. Auch Geheimdienste der verschiedenen Staaten sind hier als Aufkäufer unterwegs.
So haben sich vor einem Jahr mindestens vier Geheimdienste tagelang gegenseitig überboten, als auf einer „schwarzen Auktionsplattform“ im Netz Konstruktionspläne für eine Laserwaffe gegen Drohnen auftauchten. Die Pläne waren vermutlich von Servern des Nordatlantischen Verteidigungsbündnisses entwendet worden. Prüfbeamte der Nato wollten die unterschiedlichen Pläne zweier Rüstungskonzerne in einem aufwändigen Bewertungsverfahren auf Plausibilität testen, um dann über die Vergabe von Projektmitteln aus Bündnisbeständen zu entscheiden.
Datenspuren leistungsstarker Entschlüsselungssoftware
Geheimdienste kaufen aber auch Regierungsdokumente, Daten über kritische Infrastrukturen, wie etwa die Strom- und Wasserversorgung, oder Diplomatendepeschen auf. „Agent 007 sitzt heute nicht mehr in einem Aston Martin, sondern vor einem Computerbildschirm“, hat unlängst der israelische Sicherheitspolitiker Moshe Jaalon zum Besten gegeben. Jährlich sollen hier nach Schätzungen des amerikanischen technischen Geheimdienstes National Security Agency mehr als 50 Milliarden Dollar umgesetzt werden. Allein der Handel mit erbeuteten Nato-Daten wird von Experten auf 15 Milliarden Dollar taxiert.
Auf solche Daten hatten es die Drahtzieher des Projekts „Roter Oktober“ ebenfalls abgesehen. Die Analytiker von Kasperksy haben herausgefunden, dass einige der sichergestellten Schadroutinen ganz zielstrebig nach Dateien gesucht haben, die mit dem von Nato-Dienststellen genutzten Verschlüsselungsprogramm Acid Cryptofiler verschlüsselt sind. So wundert kaum, dass sich auch Datenspuren leistungsstarker Entschlüsselungssoftware auf einigen der über 60 Kontrollserver finden ließen, die mit den gängigen verschlüsselten Dateien von EU- und Nato-Dienststellen leicht fertig wird.
Anhand der gefundenen Zeitstempel auf den Kontrollservern, die für die Steuerung der Spionagesoftware auf den Zielrechnern zuständig waren und in einigen Fällen vielleicht noch sind, haben die Kaspersky-Analysten nachgewiesen, dass schon im Jahr 2007 vom Netzwerk „Roter Oktober“ aus Spionageangriffe gegen Regierungsrechner gefahren wurden.
Verblüffende Übereinstimmung
Vergleicht man nun die bekannt gewordenen Angriffsdetails mit einer Spähattacke, die am 25. August 2007 auf Server der Bundesregierung stattgefunden hat, ergeben sich verblüffende Parallelen. Die Kaspersky-Experten haben diesen Vorfall nicht untersucht. „Wir haben mit unseren Analysen erst im Oktober 2012 begonnen“, berichtet Magnus Kalkuhl vom Kaspersky-Labor und führt aus: „Was 2007 wo passiert ist, lässt sich leider nicht mehr nachvollziehen.“ Immerhin aber deuten die gefundenen Zeitstempel darauf hin, dass die Spionagenetze von „Roter Oktober“ bereits im Jahr 2007 aktiv waren.
Die deutschen Sicherheitsbehörden geben sich hier weitgehend ahnungslos, und auch der Bundesnachrichtendienst will die Spähattacke von 2007 nicht noch einmal im Licht der jetzt bekannt gewordenen Spionagedetails bewerten. Damals hatten Vertreter der Sicherheitsbehörden Hacker der chinesischen Volksbefreiungsarmee für die Spähattacke verantwortlich gemacht und für sich reklamiert, den Diebstahl von weiteren 160 Gigabyte vertraulichen Regierungsdaten verhindert zu haben.
Die Art des Transfers von großen Datenmengen, die Verwendung der Sicherheitslücken in den Programmen Excel und Word, die Methode, Kommunikation zwischen dem damaligen Kommandoserver und den im Regierungseigentum befindlichen Zielrechnern zu verschlüsseln, das alles weist in einigen Details eine verblüffende Übereinstimmung auf.
Sicherheitslücken über viele Jahre nicht geschlossen
Auch die damaligen Hinweise auf sogenannte System-Metadaten, die Aufschluss darüber gäben, dass die Schadsoftware auf einem chinesischen Rechner entwickelt worden sei, und die jetzt ermittelten Details zur Fertigstellung der Spionagesoftware auf einem Rechner mit installiertem chinesischem Zeichensatz lassen manchen Sicherheitsexperten hellhörig werden.
Die Aufklärung der unglaublich zahlreichen technischen Details des Spionagenetzwerkes „Roter Oktober“ wird noch einige Monate in Anspruch nehmen. Schon jetzt aber steht fest, dass auch die von Roter Oktober ausgehenden Spähattacken nur möglich waren, weil einige Sicherheitslücken über viele Jahre nicht öffentlich gemacht und geschlossen wurden. Die Geheimdienste und Sicherheitsbehörden in fast allen Staaten dieser Welt legen großen Wert auf Geheimhaltung solcher Schwachpunkte und den darauf aufsetzenden Exploits, weil sie ihre eigenen Spähattacken und sogar digitalen Waffen zur Ausschaltung sogenannter „feindlicher kritischer Infrastrukturen“ darauf aufsetzen. Insofern wird auch die Aufklärungsarbeit über das Spionagenetzwerk „Roter Oktober“ nur das ermitteln dürfen, was die Geheimdienste ohnehin nicht mehr bestreiten können.
