Die APT-Gruppe Sandworm nutzt Zero-Day-Sicherheitslücke in Windows aus

Eine Cyberspionage-Bande, die ihren Sitz vermutlich in Russland hat, nutzte eine Zero-Day-Sicherheitslücke in Windows für Attacken auf verschiedene Organisationen in verschiedenen Ländern aus, unter anderem in den USA, in Polen, der Ukraine und in Westeuropa. Die Sicherheitslücke, die diesen Dienstag durch ein Patch von Microsoft geschlossen wurde, ist leicht ausnutzbar und nach Aussagen der Experten benutzt die Gruppe hinter der Attacke diese Sicherheitslücke seit August, um den Schädling Black Energy zu transportieren.

Die Spezialisten von iSIGHT Partners erklärten, dass die Gruppe, die sie auf den Namen Sandworm tauften, vermutlich seit dem Jahr 2009 aktiv war und die Windows-Schwachstelle CVE-2014-4114 in Kombination mit einer Reihe anderer Sicherheitslücken ausnutzte, um Anwender aus Regierungsorganisationen, der NATO, Forschungsinstitutionen, Telekommunikations-, Militär- und Energieunternehmen zu kompromittieren. Die Cyberkriminellen setzten maßgeschneiderte Phishing-Mails ein, um die Anwender dazu zu bringen, eine PowerPoint-Datei zu öffnen, die den Code zur Ausnutzung der Sicherheitslücke enthielt. Sobald das Exploit gestartet wurde, lud es den Schädling Black Energy und begann mit dem Zusammentragen wichtiger Daten, um diese dann an seine Besitzer zu schicken.

Die Forscher von iSIGHT berichten, dass der Schädling unter anderem Dokumente, SSL-Schlüssel und Zertifikate zum Signieren von Code stiehlt. Die Windows-0-Day-Schwachstelle ist in allen aktuell unterstützten Versionen von Windows enthalten und laut Aussage der Experten ist es überaus einfach, sie auszunutzen. Der Exploit-Code kann in jedem beliebigen Office-Dokument geladen werden, und bei seiner Ausführung bricht das System nicht zusammen, daher nimmt der Nutzer meist keine Kenntnis von der Attacke.

„Das lässt sich sehr leicht wiederholen. Das Exploit macht nur geringes technisches Wissen erforderlich“, sagte Drew Robinson, Senior Technical Analyst bei iSIGHT.

Die Experten von iSIGHT informierten Microsoft am 5. September über diese Sicherheitslücke, und begannen zudem, ihre Partner und Kunden aus den unterschiedlichen Branchen über die laufende Sandworm-Kampagne in Kenntnis zu setzen.

Die an die Opfer gesendeten zielgerichteten Phishing-Mails waren so aufgebaut, dass sie das Interesse des Empfängers wecken mussten, und kamen beispielsweise als Dokumente für Teilnehmer der GlobeSec-Konferenz daher. Andere Dokumente richteten sich an Nutzer bestimmter Länder, wie z.B. Polen und die Ukraine, wie Robinson sagte. Die Forscher von iSIGHT erklärten, dass das Unternehmen seit August um die 12 Organisationen beobachten konnte, die von dieser Zero-Day-Schwachstelle angegriffen werden. In jedem Fall hatten die Angriffe die Installation von Black Energy zur Folge, einem bekannten Trojaner, der im Laufe der letzten Jahre in verschiedenen Attacken eingesetzt wurde.

„Alles, was wir gesehen haben, war Black Energy”, sagte Robinson. „Vermutlich wurde er aufgrund seiner Modularität ausgewählt – Cyberkriminelle können auf den Computern der Opfer tun, was sie wollen.“

Black Energy wurde mehrfach aktualisiert und iSIGHT berichtet, dass Sandworm Black Energy 2 verwendet, eine Zwischenversion, die über DDoS-Funktionalität und die Fähigkeit verfügt, Bankkontodaten zu stehlen.

Die Experten von Kaspersky Lab haben lange Zeit Angriffe von Black Energy 2 beobachtet und Alex Gostev, Chief Security Expert des Global Research & Analysis Teams (GReAT) von Kaspersky Lab, meinte, es sei noch zu früh, die Kriminellen hinter dieser Kampagne eindeutig als Russen zu identifizieren.

„Die Zahl der Cyberspionage-Operationen steigt von Monat zu Monat. Einige dieser Operationen stechen aufgrund besonderer Merkmale hervor: raffinierte Schadsoftware, besondere Fertigkeiten der Verbrecher oder Ressourcen, die es ihnen ermöglichen, ihre Cyberspionage-Aktivität über einen langen Zeitraum aufrecht zu erhalten oder teure 0-Day-Sicherheitslücken zu kaufen. Jedes der aufgeführten Merkmale kann darauf hindeuten, dass die Spionage-Operation mit Strukturen in Verbindung steht, die von einem Staat kontrolliert werden, doch es ist überaus schwierig, diese Verbindung nachzuweisen – und zudem fällt das eher in den Aufgabenbereich von Untersuchungsorganen als von IT-Sicherheitsunternehmen“, sagte Gostev.

„Cyberkriminelle können Spuren hinterlassen, die darauf hinweisen, dass sie eine bestimmte Sprache sprechen oder zu einer bestimmten ethnischen Gruppe gehören, um so eine falsche Fährte zu legen. Zudem wird in vielen Ländern der ehemaligen Sowjetunion russisch gesprochen, insbesondere im IT-Bereich. Auf der Grundlage dieses Beweises nun Rückschlüsse auf eine „russische“ Spur zu ziehen, wäre daher übereilt. Zumal auch die Dateien/Dokumente, auf die es die Verbrecher abgesehen haben, keine Grundlage für ein endgültiges Urteil abgeben.“

Die Bande, die die Sicherheitslücke CVE-2014-4114 ausnutzt, ist schon mehrere Jahre aktiv, und wie die Experten von iSIGHT mitteilten, weisen die kürzlich entdeckten Attacken Ähnlichkeiten zu älteren Operationen auf und es wurde der Einsatz von traditionellen Cybercrime-Taktiken in der Vergangenheit bemerkt. Die von der Sandworm-Gruppe verwendete Infrastruktur überschneidet sich in den letzten Attacken in einigen Fällen auch mit Proxies, die in anderen Operationen verwendet wurden. Robinson erklärte, dass die Sandworm-Bande ihren Sitz wahrscheinlich in Russland hat – diese Schlussfolgerung wurde aufgrund der Ziele der Gruppe, des Einsatzes von Black Energy und der technischen Details der Attacke gezogen.

Trotz einiger ähnlicher Merkmale erklärten die Fachleute von iSIGHT, dass die Sandworm-Gruppe vermutlich nicht mit den Autoren von Energetic Bear in Verbindung stehe, die kürzlich in anderen APT-Kampagnen in Erscheinung getreten sind.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.