Windows-Exploit: Russische Hacker greifen angeblich Nato und Regierungen an

Russische Hacker sollen in den vergangenen Jahren zahlreiche Ziele im Westen und in der Ukraine angegriffen haben. Sie nutzten dabei offenbar eine Sicherheitslücke aus, die in allen aktuellen Windows-Versionen bestehen und am Dienstag gepatcht werden soll.

Artikel veröffentlicht am ,
Russische Hacker sollen eine Windows-Sicherheitslücke ausgenutzt haben.
Russische Hacker sollen eine Windows-Sicherheitslücke ausgenutzt haben. (Bild: isightspartners.com)

Nach Informationen der US-amerikanischen Sicherheitsfirma Isight Partners hat ein russisches Hackerteam in den vergangenen Jahren gezielt westliche Institutionen angegriffen. Betroffen von den Attacken seien die Nato, ukrainische und westeuropäische Regierungen, Energiefirmen, europäische Telekommunikationsfirmen und US-amerikanische Universitätseinrichtungen gewesen, berichtete das Unternehmen am Dienstag. In Zusammenarbeit mit Microsoft habe sich herausgestellt, dass die Hacker einen Zero-Day-Exploit (CVE-2014-4114) in allen unterstützten Windows-Versionen von Vista SP2 bis Windows 8.1 ausgenutzt hätten. Auch die Windows Server-Versionen 2008 and 2012 seien betroffen. Beim Vista-Vorgänger XP finde sich die Lücke noch nicht, sagte Isight-Direktor Stephen Ward der Washington Post.

Stellenmarkt
  1. Consultant Backup (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. IT-Sachbearbeiter (w/m/d)
    Stadt NÜRNBERG, Nürnberg
Detailsuche

Die Isight-Experten nannten das neu entdeckte Hackerteam Sandworm, nach den riesigen Sandwürmern aus dem Science-Fiction-Roman Dune (Düne) von Frank Herbert. Der fiktive Wüstenplanet Arrakis sei in Code oder URLs von Command-and-Control-Servern entdeckt worden. Die Server hätten dabei in Deutschland gestanden und seien schlecht gesichert gewesen, so dass Dateien in russischer Sprache gefunden worden seien. Das Team existiere vermutlich seit 2009. Seit Ende 2013 habe die Sicherheitsfirma die Angriffe beobachtet und im September 2014 die Windows-Lücke entdeckt.

Fehler in DLL-Bibliothek

Der Beschreibung der Lücke zufolge steckt der Fehler in der Bibliothek "packager.dll". Sie ist für die Behandlung von OLE-Objekten zuständig. Über diesen Windows-Mechanismus des "Object Linking and Embedding" können Dokumente in andere Dokumente eingebettet werden. So lässt sich beispielsweise ein Diagramm in ein Word-Dokument einsetzen. Die beiden Quellen sind dabei verbunden und Änderungen am Diagramm tauchen auch in Word auf.

Der Packager behandelt aber auch andere Dateitypen, im Falle der nun gefundenen Lücke .inf-Dateien, was fatal sein kann. Eine solche Datei enthält üblicherweise einen Text mit Installationsanweisungen. Dabei kann es sich um Programme oder Treiber handeln, deren Installation nun auch über ein OLE-Objekt gestartet werden kann. Das Öffnen eines entsprechend präparierten Dokuments kann also zur Installation von Code führen, der auch aus dem Internet heruntergeladen werden kann. Die standardmäßig ab Windows Vista aktivierte Benutzerkontensteuerung (UAC), die vor jeder Installation warnt, kann damit aber offenbar nicht umgangen werden. Ist diese jedoch ausgeschaltet, was gerade zu Zeiten von Vista wegen seiner sehr aufdringlichen Warnhinweise beliebt war, gibt es keine weitere Warnung mehr. Das setzt aber auch noch Administratorrechte voraus.

Angriffe über Spear-Phishing

Golem Karrierewelt
  1. CEH Certified Ethical Hacker v12: virtueller Fünf-Tage-Workshop
    30.01.-03.02.2023, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    17.01.2023, virtuell
Weitere IT-Trainings

Da die Packager.dll erst mit Vista eingeführt wurde - unter Windows XP war Packager.exe dafür zuständig - sind alle Versionen seit Vista davon betroffen, also auch Windows 7, Windows 8 und 8.1 sowie Windows Server 2008 und 2012. Die Lücke soll am Dienstag mit dem Sicherheitsbulletin MS14-060 gepatcht werden.

Dem Bericht zufolge entdeckte Isight im August 2014 eine sogenannte Spear-Phishing-Attacke auf die ukrainische Regierung und eine US-Organisation mit einem manipulierten Powerpoint-Dokument. Beim Spear-Phishing werden speziell auf das Opfer zugeschnittene E-Mails eingesetzt, die zum Öffnen des manipulierten Dokuments bewegen sollen. Die Attacken seien zeitlich mit dem Ukraine-Gipfel in Wales zusammengefallen. Neben der Windows-Lücke hätten die Hacker auch sogenannte Blackenergy-Programme eingesetzt, bei denen möglichst viele Lücken gleichzeitig ausgenutzt werden sollten. Eine polnische Energiefirma sei zudem mit der Tiff-Sicherheitslücke CVE-2013-3906 angegriffen worden, die im November 2013 bekanntgeworden war.

Nach Ansicht von Isight Partners stehen die Sandworm-Attacken im Zusammenhang mit einer ganzen Reihe von Angriffen aus dem russischen Raum. Mindestens fünf Teams würden derzeit beobachtet. Zuletzt wurde über ein "Zar-Team" berichtet, das mit Hilfe von Schadprogrammen für mobile Geräte die US-Regierung und Energiefirmen ausspionieren wolle. Für Isight-Direktor Ward lassen die Attacken eindeutig auf Spionageaktivitäten schließen. "Alle Hinweise, von der Auswahl der Ziele und der Köder, weisen auf eine Spionage im Interesse Russlands hin", sagte er der Washington Post. Die russische Regierung habe solche Vorwürfe in der Vergangenheit zurückgewiesen. Über den Erfolg der Sandworm-Angriffe konnte Isights keine genauen Angaben machen. Bestimmte Ziele, beispielsweise innerhalb der ukrainischen Regierung, seien jedoch kompromittiert gewesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


flurreh 29. Okt 2014

Nö, wenn sie bekannt wurde ist sie das nicht mehr.

SelfEsteem 15. Okt 2014

Vergiss die Chinesen nicht! Hmm ... hab heute irgendwie einen politisch hochgradig...

SelfEsteem 15. Okt 2014

Och, man muss halt fuer sich entscheiden, wie man damit umgeht. Ich persoenlich wuerde...

plutoniumsulfat 14. Okt 2014

Artikel nicht gelesen? Edit: R



Aktuell auf der Startseite von Golem.de
Loupedeck Live S ausprobiert
Alle Streams an Deck

Das Loupedeck Live S ist eine kleine Hardwaresteuerung für Streaming und Medien. Wir fänden mehr Cloud und weniger Kosten wünschenswert.
Ein Praxistest von Martin Wolf

Loupedeck Live S ausprobiert: Alle Streams an Deck
Artikel
  1. Social Media: EU-Kommissar droht Twitter mit Abschaltung
    Social Media
    EU-Kommissar droht Twitter mit Abschaltung

    Twitter muss sich an EU-Recht halten, stellt EU-Kommissar Thierry Breton klar. Er will sich demnächst mit Elon Musk treffen.

  2. MK-V Founder Series: Monarch-Elektrotraktor mit autonomer Fahrfunktion
    MK-V Founder Series
    Monarch-Elektrotraktor mit autonomer Fahrfunktion

    Der Traktorhersteller Monarch hat eine Landwirtschaftsmaschine mit Elektroantrieb vorgestellt, bei der der Fahrer optional ist.

  3. IT-Projektmanager: Mehr als Excel-Schubser und Flaschenhälse
    IT-Projektmanager
    Mehr als Excel-Schubser und Flaschenhälse

    Viele IT-Teams halten ihr Projektmanagement für überflüssig. Wir zeigen drei kreative Methoden, mit denen Projektmanager wirklich relevant werden.
    Ein Ratgebertext von Jakob Rufus Klimkait und Kristin Ottlinger

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /