Russische Hacker spionierten NATO über Lücke in Windows aus

SicherheitSicherheitsmanagement
Hacker nutzen Java-Lücke für Angriffe auf NATO und US-Militär (Bild: Shutterstock / shpock)

Auch ukrainische und westeuropäische Behörden, Energie- und Telekommunikationsfirmen wurden darüber ausgespäht. Die Angriffe sind laut der Sicherheitsfirma iSight Teil zunehmender Aktivitäten im Bereich Cyberspionage durch mehrere russische Teams. Die von ihnen in den nun aufgedeckten Attacken verwendete Lücke will Microsoft noch heute mit einem Patch schließen.

iSight Partners hat von Cyber-Angriffen auf die NATO und andere Organisationen von westeuropäischne Ländern sowie Einrichtingen in der Ukraine berichtet. Der Sicherheitsfirma zufolge wurde dazu ein bislang unbekannte eine Lücke in Windows ausgenutzt. Die Schwachstelle CVE-2014-4114 will Microsoft im Zuge des anstehenden monatlichen Patchdays heute noch beheben.

Russische Hacker spionieren NATO über Lücke in Windows aus (Bild: Shutterstock / shpock)

Die Spionage-Aktivitäten betrafen laut iSight Partners mit Sicherheit Domains ukrainischer und westeuropäischer Behörden, aber auch Unternehmen im Energiesektor, Telekommunikationsfirmen sowie Universitäten und Forschungseinrichtungen in den USA. Die Sicherheitsexperten gehen jedoch davon aus, dass die Spähangriffe weitaus umfangreicher waren. Ihre Erkenntnisse zu der Schwachstelle veröfentlichten sie erst kurz vor deren Behebung durch Microsoft, um nicht weitere Gruppen dazu zu animieren, sie auszunutzen.

“Wir beobachten laufend mehrere Intrusion-Teams mit verschiedenen Aufgaben, Zielen und Angriffsfähigkeiten”, schreibt Stephen Ward von iSight. “Dabei verfolgen wir aktive Kampagnen von mindestens fünf verschiedenen Teams.” Eine “Zar-Team” getaufte Hacker-Gruppen griff mit dem Einsatz von Malware für Mobilgeräte unter anderem militärische und nachrichtendienstliche Ziele in den USA und Europa an.

Das für die Ausspähung der NATO zuständige Team erhielt die Bezeichnung Sandworm-Team. Es scheint bereits seit etwa 2009 aktiv zu sein und arbeitet bevorzugt mit sogenannten Spearphishing-Mails, also Nachrichten, die für bestimmte Empfänger formuliert sind und in den angehängten Dokumenten Malware transportieren.

In letzter Zeit habe es aber auch mehrere Exploit-Methoden gleichzeitig eingesetzt, um die Computersysteme seiner Opfer zu kompromittieren. Der Einsatz der noch ungepatchten Windows-Schwachstelle bei einem Spearphishing-Angriff dieses Teams fiel den Sicherheitsforschern am 3. September erstmals auf. Bei den Angriffen kam unter anderem ein präpariertes Powerpoint-Dokument zum Einsatz

Die Schwachstelle findet sich in allen derzeit unterstützten Versionen von Microsoft Windows (nicht jedoch XP) sowie Windows Server 2008 und 2012. Sie steckt in der Bibliothek Packager.dll, die mit Windows Vista eingeführt wurde und für das Einbetten von OLE-Objekten gedacht ist. Sie erlaubte allerdings auch den Download sowie die Ausführung von INF-Dateien aus nicht vertrauenswürdigen Quellen – was den Angreifern letztlich die Ausführung von bösartigem Code ermöglichte.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen