LUXEMBURG
SVEN WOHL

Im Verlauf der letzten fünf Jahrewurden Computersysteme aufder ganzen Welt infiltriert

Es hört sich fast so an, wie der Plot eines Agententhrillers: Computer in der ganzen Welt wurden durch Malware infiziert und ausspioniert. Darunter zahlreiche Rechner von Regierungen, Botschaften, Militär und Forschungsanstalten. Kaspersky hat Beginn der Woche diese massive Hacker Aktion aufgedeckt und auf den sinnigen Namen „Red October“ getauft. Das Ziel der Hacker: Informationen sammeln, darunter Passwörter, Kontaktdaten und vertrauliche Nachrichten.

Luxemburgische Regierung im Visier

In Luxemburg ist, offiziellen Angaben des Computer Emergency Response Team (CERT) zufolge, nur ein Rechner der Regierung infiziert gewesen. Dieser sei jedoch laut CERT mittlerweile vom unerwünschten Gast bereinigt und somit keine Bedrohung mehr. Leider ist auch auf Anfrage hin nicht bekannt, wie lange dieser Rechner infiziert war und wie viele Daten dieser illegal übertragen hat. Der Abgeordnete Eugène Berger (DP) hat diesbezüglich bereits eine parlamentarische Frage gestellt, in der sich nach den Details des Rechners erkundigt wird. Das CERT stuft die Bedrohung jedoch als nicht „außerordentlich ernst“ ein. Eine Aussage die, wie zu erwarten, von der Piratenpartei Luxemburg kritisch betrachtet wird. Laut Sven Clement, Präsident der Piratenpartei, gibt es in Luxemburg einfach noch kein wirkliches Bewusstsein für das Thema Datenschutz.

Nicht das erste und nicht das letzte Mal

Dabei sind es nicht nur stationäre Rechner, die hier in Gefahr sind. Auch USB-Speichergeräte und Smartphones sind einem enormen Risiko ausgesetzt. Denn alles, was per USB an einen infizierten Rechner angeschlossen wird, kann der Informations-Sammelwut der Malware zum Opfer fallen. Bei Smartphones kann sich dies natürlich als besonders gefährlich heraus stellen, denn Kontaktlisten, SMS und andere Informationen können so weitervermittelt werden.

Bei „Red October“ handelt es sich zudem nicht um den ersten Fall einer solch groß angelegten Aktion, die global stattfand. Ähnliches gab es bereits mit den sogenannten „Nitro Attacks“, bei denen Chemiekonzerne ab Juli 2011 angegriffen worden sind. Wegen dieser doch sehr spezifischen Ziele war die Anzahl der betroffenen Rechner wesentlich geringer, als dies beim aktuellen Beispiel der Fall ist. Laut Alexandre Dulaunoy vom Computer Incident Response Center Luxembourg (CIRCL) handelt es sich bei dieser Aktion nicht um die erste und auch nicht um die letzte Attacke auf luxemburgische Ziele. Dabei stellt Wachsamkeit weiterhin ein Grundstein jeder IT-Sicherheit dar. Es ist aber auch so, dass die Angreifer eben nie als solche zu erkennen sind. Es handelt sich dabei regelrecht um Wölfe im Schafspelz. Die infizierten Dateien können zahlreiche Gestalten annehmen: Sowohl Textdateien (.doc, .docx, .odt), PDFs als auch Excel Tabellen, können die Malware in das eigene System einschleusen.

Angreifer: unbekannt

Dass es jedoch fünf Jahre gedauert hat, um diese Malware-Attacke überhaupt aufzudecken, zeigt auch, wie schwer es ist, diese Aktionen einzelnen Gruppen zuzuordnen. Denn Phishing- und Malware-Attacken befinden sich in einem Aufwärtstrend, der es schwierig macht, die Hintermänner zu entdecken. Kaspersky hat es zwar geschafft, sechs der insgesamt 60 Rechner genau zu erfassen und zu überwachen, konnte jedoch nicht auf die dahinter liegende Struktur zurückgreifen. Kurz: Die Hintermänner bleiben unentdeckt, weil zwischengeschaltete Rechner die Spur zum tatsächlichen „Mutterschiff“ verwischen. Bisher ist nur sicher, dass die Angreifer russisch sprechen und unter anderem auch deutsche Server als Zwischenstationen benutzen.

Kaspersky will sich demnächst mit den verschiedenen CERTs der betroffenen Länder zusammenschalten, um die vorhandenen Daten weiter zu analysieren. Damit könnte man, unter Umständen, auch an die Hintermänner heran kommen.

Wie man sich schützt

Grundsätzlich sollen im Falle der Entdeckung einer solchen Aktivität das CIRCL (www.circl.lu) angesprochen werden. In diesem spezifischen Fall ist es relativ leicht heraus zu finden, ob das eigene Firmen- oder Privat-System infiziert ist. Wenn eine der im Kasten aufgelisteten IP Adressen oder Domain-Namen in den letzten sechs Jahren in den eigenen Proxy- oder DNS-Logdateien auftauchen, bedeutet dies, dass das eigene System betroffen ist. In dem Fall wo ein Gerät diese Adressen aufgerufen hat, soll das Gerät vom Netzwerk entfernt und das CIRCL kontaktiert werden. Selbst Systeme, die nicht infiziert sind, befinden sich in Gefahr, da die Malware immer noch im Umlauf ist und weiterhin aktiv bleibt. Die Adressen sollten also auf jeden Fall im voraus blockiert werden.
Sowohl Privatpersonen als auch Unternehmen können sich bei solchen Fällen beim CIRCL melden. Dies kann über deren Internetadresse unter www.circl.lu/report/ erfolgen.