FireEye: Word-Lücke auch für staatliche Spionage benutzt

Unbekannte verbreiten die kommerzielle Spionagesoftware Finspy. Sie nehmen seit Ende Januar russisch sprechende Ziele ins Visier. Cyberkriminelle verteilen seit Ende März die Malware Latentbot, um Anmeldedaten zu stehlen. Der Exploit stammt in beiden Fällen offenbar aus derselben Quelle.

FireEye hat weitere Details zu der am Dienstag von Microsoft geschlossenen Zero-Day-Lücke in Word veröffentlicht. Demnach wurde die Schwachstelle nicht nur für die Verbreitung der Dridex-Malware benutzt, sondern auch, um russisch sprechende Opfer mit der Finspy-Malware anzugreifen. Finspy, auch als FinFisher bekannt, ist eine von der deutsch-britischen Gamma Group entwickelte kommerzielle Spionagesoftware. Zu deren Kunden soll auch die Bundesregierung gehören.

Logo von FireEye (Bild: FireEye)Schon ab dem 25. Januar wurde demnach versucht, Nutzer mit einem angeblichen Dekret des russischen Verteidigungsministeriums sowie einem Handbuch der „Volksrepublik Donezk“ zum Öffnen einer speziell präparierten Word-Datei zu verleiten. Die Datei wiederum nutzte die Anfang April bekannt gewordene Zero-Day-Lücke mit der Kennung CVE-2017-0199, um Finspy einzuschleusen und auszuführen.

Darüber hinaus wurde die Anfälligkeit aber auch schon vor ihrer Offenlegung von Cyberkriminellen eingesetzt. Sie verteilten darüber ab Anfang März die Malware Latentbot. Ihre Aufgabe ist das Sammeln von Anmeldedaten. FireEye unterstellt den Hackern eine rein finanzielle Motivation. „Latentbot ist eine modulare und sehr gut getarnte Malware, die erstmals im Dezember 2015 von FireEye entdeckt wurde“, teilte das Unternehmen mit.

Latentbot stehle nicht nur vertrauliche Daten, die Malware sei auch in der Lage, Daten oder ganze Festplatten zu löschen und Sicherheitssoftware abzuschalten. Außerdem verfüge sie über eine Fernwartungsfunktion. Nutzer locke die Schadsoftware unter anderem mit Dateinamen mit „Bewerbungsformular.doc“ und „!!!!Dringend!!!!Lesen!!!!.doc“.

FireEye will außerdem herausgefunden haben, dass die staatlichen Hacker und auch die Cyberkriminellen den Zero-Day-Exploit für Microsoft Word aus derselben Quelle erhalten haben. Als Beleg dafür sieht das Unternehmen die bis auf die Sekunde identischen Zeitstempel der von beiden Parteien benutzten präparierten Word-Dokumente an.

„Obwohl nur ein Finspy-Nutzer beobachtet wurde, der diesen Zero-Day-Exploit benutzt hat, legt die bisherige Reichweite von Finspy, das von mehreren Nationalstaaten eingesetzt wurde, die Vermutung nahe, dass mehrere Kunden Zugang dazu hatten“, lautet das Fazit von FireEye. Der Vorfall verdeutliche die globale Natur von Cyberbedrohungen und die Notwendigkeit einer weltweiten Betrachtungsweise. „Ein gegen Russen gerichteter Cyberspionage-Vorfall kann eine Gelegenheit sein, von Cyberverbrechen gegen englischsprechende Nutzer zu erfahren und sie zu unterbinden.“

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, FireEye, Malware, Office, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu FireEye: Word-Lücke auch für staatliche Spionage benutzt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *