Auch Java-Exploit für Cyberspionage-Kampagne Roter Oktober benutzt

Die israelische Sicherheitsfirma Seculert hat Hinweise darauf entdeckt, dass die Hintermänner der Cyberspionage-Kampagne Roter Oktober auch einen Java-Exploit eingesetzt haben. Wie Computerworld berichtet, fanden sie in einem Ordner auf einem Kommandoserver ein gefährliches Java-Applet, das eine im Oktober 2011 gepatchte Schwachstelle ausnutzt.

Der Exploit wurde demnach im Februar 2012 kompiliert. Dadurch werde die Annahme gestützt, dass die Angreifer älteren, bekannten Anfälligkeiten gegenüber bisher unbekannten Zero-Day-Lücken den Vorzug geben, schreibt Seculert in einem Blogeintrag.

Ermöglicht wurde das Auffinden des Applets durch den Wechsel der serverseitigen Skriptsprache von PHP zu CGI, so Seculert weiter. Einige der alten PHP-basierten Websites, die für die Angriffe verwendet wurden, hätten sich immer noch auf dem Server befunden. Laut Aviv Raff, Chief Technology Officer von Seculert, wurde der Java-Exploit auch nach dem Wechsel zu CGI weiter benutzt. Ob in den vergangenen Monaten allerdings auch jüngere Java-Lücken oder andere Browser-Plug-ins missbraucht wurden, sei bisher nicht klar.

Inzwischen ist der Kommandoserver nicht mehr erreichbar. Laut Costin Raiu, leitender Sicherheitsforscher bei Kaspersky Lab, begannen die Angreifer in der Nacht von Montag auf Dienstag damit, ihre Infrastruktur abzubauen. „Zur gleichen Zeit haben Internet Service Provider einige der Kommandoserver abgeschaltet, während Registrare die Domain-Namen getilgt haben“, sagte Raiu im Gespräch mit TechWeekEurope. Es gebe zwar noch wenige aktive Server, die Infrastruktur an sich sei aber massiv gestört und überwiegend nicht mehr funktionsfähig.

Raff weist auch auf eine mögliche Parallele zur Spionagesoftware Flame hin. Der gefundene Java-Exploit und auch die für die Verteilung des Schadcodes verwendeten Websites enthielten die Zeichenfolge „News“. Der Browser eines Opfers sei zudem nach einem Angriff auf legitime Nachrichten-Sites umgeleitet worden, darunter eine in der Türkei ansässige Seite. Auf für Flame verwendete Kommandoserver sei die Zeichenfolge „NewsForYou“ gefunden worden. Dabei könne es sich aber auch um einen Zufall handeln.

Kaspersky machte die Cyberspionage-Kampagne Roter Oktober vorgestern öffentlich. Angreifern ist es Kaspersky zufolge gelungen, über mehrere Jahre hinweg Daten von zahlreichen Geräten zu stehlen, darunter PCs und iPhones, aber auch Smartphones anderer Hersteller, Wechselfestplatten und Netzwerkausrüstung. Ziel waren vor allem Regierungssysteme beispielsweise in Botschaften.

Dem Bericht von Kaspersky zufolge verteilten die Angreifer ihre Malware durch sogenanntes Speer-Phishing – also in Form von gezielt versandten E-Mails, die Anwender zum Download einer Malware bringen sollten. Die Nachrichten enthielten manipulierte Dokumente, die bekannte Schwachstellen in Microsoft Word und Excel ausnutzten. Andere Methoden zur Verteilung der Schadprogramme seien möglicherweise nicht benutzt oder bisher noch nicht identifiziert worden, hatte Raiu am Montag erklärt.

Raff vermutet Computerworld zufolge, dass Roter Oktober das Werk von Hackern ist, die es in erster Linie auf wertvolle Informationen abgesehen haben, die sich an interessierte Parteien weiterverkaufen lassen. Eine Regierung stecke wahrscheinlich nicht dahinter. Dieselbe Theorie verfolgen auch die Forscher von Kaspersky Lab, die die Cyberspionage-Kampagne als erstes entdeckt hatten.