Russische Hacker spionieren NATO aus

isight-sandworm-windows-hack-nato

Hacker sollen der Sicherheitsfirma iSight Partners zufolge die Zero-Day-Lücke CVE-2014-4114 in Windows genutzt haben, um zahlreiche Organisationen, unter anderem die Nato, ausspioniert zu haben. Im Zuge des monatlich anstehenden Patchdays hat Microsoft die Lücke bereits geschlossen. iSight vermutet derweil, dass die Angriffe von Russland ausgehen.

Nicht nur die Nato ist von der vermeintlichen Cyberspionage betroffen. Auch Domains ukrainischer und westeuropäischer Regierungsorganisationen, Unternehmen des Energiesektors, europäischer Telekommunikationsfirmen sowie akademischer Organisationen in den USA seien Opfer der jüngsten Spionage. Die Sicherheitsexperten vermuten aber noch eine viel größere Zielgruppe, da die Sichtbarkeit sehr begrenzt gewesen sei. Man habe schon länger von der Gefahr gewusst, mit der Veröffentlichung der Schwachstelle jedoch gewartet, bis Microsoft sie behoben hatte. Damit wollte man einer Ausnutzung weiterer Hacker zuvorkommen.

Stephen Ward von iSight berichtet von deutlich zunehmenden Cyberspionage-Aktivitäten aus Russland. “Wir beobachten laufend mehrere Intrusionsteams mit verschiedenen Aufgaben, Zielen und Angriffsfähigkeiten”, schreibt er. “Dabei verfolgen wir aktive Kampagnen von mindestens fünf verschiedenen Teams.”

Eine der russischen Hacker-Gruppen wurde Zar-Team getauft und machte durch den Einsatz von Malware für Mobilgeräte auf sich aufmerksam. Seine Kampagnen galten militärischen und nachrichtendienstlichen Zielen in den USA und Europa, aber auch Nachrichtenorganisationen sowie tschetschenischen Rebellen. Das für die NATO-Ausspähung zuständige Team erhielt die Bezeichnung Sandworm-Team. Der von ihm verwendete Angriffscode enthielt Hinweise auf Dune (Der Wüstenplanet) – einen Science-Fiction-Romanzyklus von Frank Herbert, in dem Sandwürmer eine besondere Rolle spielen.

Das Sandworm-Team scheint bereits seit etwa 2009 aktiv zu sein und arbeitet bevorzugt mit Spearphishing-Mails, die eigens für bestimmte Empfänger formuliert sind und in angehängten Dokumenten Malware transportieren. In letzter Zeit setzte es aber auch mehrere Exploit-Methoden gleichzeitig ein, um seine Opfer zu überlisten und ihre Computersysteme zu kompromittieren. Der Einsatz der noch ungepatchten Windows-Schwachstelle bei einem Spearphishing-Angriff dieses Teams fiel den Sicherheitsforschern am 3. September erstmals auf. Bei den Angriffen kam unter anderem ein präpariertes PowerPoint-Dokument zum Einsatz

Die gefährliche Schwachstelle betrifft alle derzeit unterstützten Versionen von Microsoft Windows (nicht jedoch XP) sowie Windows Server 2008 und 2012. Sie steckt in der Bibliothek Packager.dll, die mit Windows Vista eingeführt wurde und für das Einbetten von OLE-Objekten gedacht ist. Sie erlaubte allerdings auch den Download sowie die Ausführung von INF-Dateien aus nicht vertrauenswürdigen Quellen – was den Angreifern letztlich die Ausführung von bösartigem Code ermöglichte.

Tipp: Wie gut kennst du Windows? Überprüfe dein Wissen – mit 15 Fragen auf silicon.de.

Tags :Quellen:Bild: iSightVia:Mit Material von Bernd Kling, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising