Red October: Infrastruktur wird abgeschaltet

Die groß angelegte IT-Spionage-Kampagne, die vor allem in Osteuropa zahlreiche Rechner von Militäreinrichtungen, Regierungsbehörden und Wissenschaftlern infizierte, wurde Anfang der Woche von Kaspersky Lab öffentlich dokumentiert (gulli:News berichtete). Auf die Entdeckung reagieren die Verantwortlichen nun offenbar mit einem geordneten Rückzug. Domains und Server, die für die Steuerung von Red October verwendet wurden, wurden in den letzten Tagen nach und nach deaktiviert.

"Es ist klar, dass die Infrastruktur heruntergefahren wird. Diesmal wird sie endgültig heruntergefahren," so Costin Raiu, einer der maßgeblich an der Erforschung von Red October beteiligten Sicherheitsforscher, über die Beobachtungen der letzten Tage, "Es geht nicht nur um die Registrare, die Domains abschalten, und Hosting-Provider, die Command-and-Control-Server abschalten, sondern vielleicht beenden die Angreifer die ganze Operation."

Der ganze Umfang der Kontroll-Infrastruktur von Red October wurde von den Wissenschaftlern bislang nicht offen gelegt. Die rund 60 bekannten Server, größtenteils in Russland und Deutschland lokalisiert, waren nach Aussage Raius lediglich Proxies, die die Entdeckung wichtigerer Teile der Infrastruktur erschweren sollten. Raiu vermutet, dass Dutzende mehr Server verwendet wurden, so dass die Infrastruktur von Red October es mit der des - ebenfalls auf Spionage spezialisierten - staatlichen Trojaners Flame aufnehmen könne. Viele Details von Red October liegen jedoch noch im Dunkeln. Mit der nun erfolgten Abschaltung des Netzwerks dürfte eine Analyse weiter erschwert werden.