Windows-Lücke: Russische Hacker spionieren NATO aus

Die Sicherheitsfirma iSight Partners berichtet von Spähangriffen auf das Militärbündnis NATO und andere Organisationen, bei denen eine Zero-Day-Lücke in Windows genutzt wurde. Microsoft will die Schwachstelle CVE-2014-4114 am heute anstehenden monatlichen Patchday beheben. iSight sieht in den Angriffen Cyberspionage, die von Russland ausgeht.

Sichtbar wurde die Spionagekampagne bei Domains ukrainischer und westeuropäischer Regierungsorganisationen, Unternehmen des Energiesektors (insbesondere polnischer), europäischer Telekommunikationsfirmen sowie akademischer Organisationen in den USA. Aufgrund der begrenzten Sichtbarkeit gehen die Sicherheitsexperten jedoch davon aus, dass die Spähangriffe potenziell weit umfangreicher waren. Die Schwachstelle machten sie jedoch erst kurz vor ihrer Behebung durch Microsoft öffentlich, um keine Ausnutzung durch weitere Gruppen zu provozieren. Möglicherweise betroffene Organisationen können umfangreichere technische Informationen anfordern, um ihre eventuelle Gefährdung einschätzen zu können.

Ziele des russischen Intrusionsteams (Bild: iSight Partners)

Stephen Ward von iSight berichtet von deutlich zunehmenden Cyberspionage-Aktivitäten aus Russland. „Wir beobachten laufend mehrere Intrusionsteams mit verschiedenen Aufgaben, Zielen und Angriffsfähigkeiten“, schreibt er. „Dabei verfolgen wir aktive Kampagnen von mindestens fünf verschiedenen Teams.“

Eine der russischen Hacker-Gruppen wurde Zar-Team getauft und machte durch den Einsatz von Malware für Mobilgeräte auf sich aufmerksam. Seine Kampagnen galten militärischen und nachrichtendienstlichen Zielen in den USA und Europa, aber auch Nachrichtenorganisationen sowie tschetschenischen Rebellen. Das für die NATO-Ausspähung zuständige Team erhielt die Bezeichnung Sandworm-Team. Der von ihm verwendete Angriffscode enthielt Hinweise auf Dune (Der Wüstenplanet) – einen Science-Fiction-Romanzyklus von Frank Herbert, in dem Sandwürmer eine besondere Rolle spielen.

Das Sandworm-Team scheint bereits seit etwa 2009 aktiv zu sein und arbeitet bevorzugt mit Spearphishing-Mails, die eigens für bestimmte Empfänger formuliert sind und in angehängten Dokumenten Malware transportieren. In letzter Zeit setzte es aber auch mehrere Exploit-Methoden gleichzeitig ein, um seine Opfer zu überlisten und ihre Computersysteme zu kompromittieren. Der Einsatz der noch ungepatchten Windows-Schwachstelle bei einem Spearphishing-Angriff dieses Teams fiel den Sicherheitsforschern am 3. September erstmals auf. Bei den Angriffen kam unter anderem ein präpariertes PowerPoint-Dokument zum Einsatz

Die gefährliche Schwachstelle betrifft alle derzeit unterstützten Versionen von Microsoft Windows (nicht jedoch XP) sowie Windows Server 2008 und 2012. Sie steckt in der Bibliothek Packager.dll, die mit Windows Vista eingeführt wurde und für das Einbetten von OLE-Objekten gedacht ist. Sie erlaubte allerdings auch den Download sowie die Ausführung von INF-Dateien aus nicht vertrauenswürdigen Quellen – was den Angreifern letztlich die Ausführung von bösartigem Code ermöglichte.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.