News

Die APT-Gruppe Sandworm nutzt Zero-Day-Sicherheitslücke in Windows aus

Eine Cyberspionage-Bande, die ihren Sitz vermutlich in Russland hat, nutzte eine Zero-Day-Sicherheitslücke in Windows für Attacken auf verschiedene Organisationen in verschiedenen Ländern aus, unter anderem in den USA, in Polen, der Ukraine und in Westeuropa. Die Sicherheitslücke, die diesen Dienstag durch ein Patch von Microsoft geschlossen wurde, ist leicht ausnutzbar und nach Aussagen der Experten benutzt die Gruppe hinter der Attacke diese Sicherheitslücke seit August, um den Schädling Black Energy zu transportieren.

Die Spezialisten von iSIGHT Partners erklärten, dass die Gruppe, die sie auf den Namen Sandworm tauften, vermutlich seit dem Jahr 2009 aktiv war und die Windows-Schwachstelle CVE-2014-4114 in Kombination mit einer Reihe anderer Sicherheitslücken ausnutzte, um Anwender aus Regierungsorganisationen, der NATO, Forschungsinstitutionen, Telekommunikations-, Militär- und Energieunternehmen zu kompromittieren. Die Cyberkriminellen setzten maßgeschneiderte Phishing-Mails ein, um die Anwender dazu zu bringen, eine PowerPoint-Datei zu öffnen, die den Code zur Ausnutzung der Sicherheitslücke enthielt. Sobald das Exploit gestartet wurde, lud es den Schädling Black Energy und begann mit dem Zusammentragen wichtiger Daten, um diese dann an seine Besitzer zu schicken.

Die Forscher von iSIGHT berichten, dass der Schädling unter anderem Dokumente, SSL-Schlüssel und Zertifikate zum Signieren von Code stiehlt. Die Windows-0-Day-Schwachstelle ist in allen aktuell unterstützten Versionen von Windows enthalten und laut Aussage der Experten ist es überaus einfach, sie auszunutzen. Der Exploit-Code kann in jedem beliebigen Office-Dokument geladen werden, und bei seiner Ausführung bricht das System nicht zusammen, daher nimmt der Nutzer meist keine Kenntnis von der Attacke.

„Das lässt sich sehr leicht wiederholen. Das Exploit macht nur geringes technisches Wissen erforderlich“, sagte Drew Robinson, Senior Technical Analyst bei iSIGHT.

Die Experten von iSIGHT informierten Microsoft am 5. September über diese Sicherheitslücke, und begannen zudem, ihre Partner und Kunden aus den unterschiedlichen Branchen über die laufende Sandworm-Kampagne in Kenntnis zu setzen.

Die an die Opfer gesendeten zielgerichteten Phishing-Mails waren so aufgebaut, dass sie das Interesse des Empfängers wecken mussten, und kamen beispielsweise als Dokumente für Teilnehmer der GlobeSec-Konferenz daher. Andere Dokumente richteten sich an Nutzer bestimmter Länder, wie z.B. Polen und die Ukraine, wie Robinson sagte. Die Forscher von iSIGHT erklärten, dass das Unternehmen seit August um die 12 Organisationen beobachten konnte, die von dieser Zero-Day-Schwachstelle angegriffen werden. In jedem Fall hatten die Angriffe die Installation von Black Energy zur Folge, einem bekannten Trojaner, der im Laufe der letzten Jahre in verschiedenen Attacken eingesetzt wurde.

„Alles, was wir gesehen haben, war Black Energy”, sagte Robinson. „Vermutlich wurde er aufgrund seiner Modularität ausgewählt – Cyberkriminelle können auf den Computern der Opfer tun, was sie wollen.“

Black Energy wurde mehrfach aktualisiert und iSIGHT berichtet, dass Sandworm Black Energy 2 verwendet, eine Zwischenversion, die über DDoS-Funktionalität und die Fähigkeit verfügt, Bankkontodaten zu stehlen.

Die Experten von Kaspersky Lab haben lange Zeit Angriffe von Black Energy 2 beobachtet und Alex Gostev, Chief Security Expert des Global Research & Analysis Teams (GReAT) von Kaspersky Lab, meinte, es sei noch zu früh, die Kriminellen hinter dieser Kampagne eindeutig als Russen zu identifizieren.

„Die Zahl der Cyberspionage-Operationen steigt von Monat zu Monat. Einige dieser Operationen stechen aufgrund besonderer Merkmale hervor: raffinierte Schadsoftware, besondere Fertigkeiten der Verbrecher oder Ressourcen, die es ihnen ermöglichen, ihre Cyberspionage-Aktivität über einen langen Zeitraum aufrecht zu erhalten oder teure 0-Day-Sicherheitslücken zu kaufen. Jedes der aufgeführten Merkmale kann darauf hindeuten, dass die Spionage-Operation mit Strukturen in Verbindung steht, die von einem Staat kontrolliert werden, doch es ist überaus schwierig, diese Verbindung nachzuweisen – und zudem fällt das eher in den Aufgabenbereich von Untersuchungsorganen als von IT-Sicherheitsunternehmen“, sagte Gostev.

„Cyberkriminelle können Spuren hinterlassen, die darauf hinweisen, dass sie eine bestimmte Sprache sprechen oder zu einer bestimmten ethnischen Gruppe gehören, um so eine falsche Fährte zu legen. Zudem wird in vielen Ländern der ehemaligen Sowjetunion russisch gesprochen, insbesondere im IT-Bereich. Auf der Grundlage dieses Beweises nun Rückschlüsse auf eine „russische“ Spur zu ziehen, wäre daher übereilt. Zumal auch die Dateien/Dokumente, auf die es die Verbrecher abgesehen haben, keine Grundlage für ein endgültiges Urteil abgeben.“

Die Bande, die die Sicherheitslücke CVE-2014-4114 ausnutzt, ist schon mehrere Jahre aktiv, und wie die Experten von iSIGHT mitteilten, weisen die kürzlich entdeckten Attacken Ähnlichkeiten zu älteren Operationen auf und es wurde der Einsatz von traditionellen Cybercrime-Taktiken in der Vergangenheit bemerkt. Die von der Sandworm-Gruppe verwendete Infrastruktur überschneidet sich in den letzten Attacken in einigen Fällen auch mit Proxies, die in anderen Operationen verwendet wurden. Robinson erklärte, dass die Sandworm-Bande ihren Sitz wahrscheinlich in Russland hat – diese Schlussfolgerung wurde aufgrund der Ziele der Gruppe, des Einsatzes von Black Energy und der technischen Details der Attacke gezogen.

Trotz einiger ähnlicher Merkmale erklärten die Fachleute von iSIGHT, dass die Sandworm-Gruppe vermutlich nicht mit den Autoren von Energetic Bear in Verbindung stehe, die kürzlich in anderen APT-Kampagnen in Erscheinung getreten sind.

Quelle:        Threatpost

Die APT-Gruppe Sandworm nutzt Zero-Day-Sicherheitslücke in Windows aus

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach