Roter Oktober nutzt Java-Schwachstelle

Wie das UR-Branchenmagazin Computerworld berichtet, fand die israelische Sicherheitsfirma Seculert in einem Ordner auf einem Kommandoserver ein gefährliches Java-Applet, das eine im Oktober 2011 gepatchte Schwachstelle ausnutzt.

Der Exploit wurde demnach im Februar 2012 kompiliert. Dadurch werde die Annahme gestützt, dass die Angreifer älteren, bekannten Anfälligkeiten gegenüber bisher unbekannten Zero-Day-Lücken den Vorzug geben, schreibt Seculert in einem Blogeintrag.

Ermöglicht wurde das Auffinden des Applets durch den Wechsel der serverseitigen Skriptsprache von PHP zu CGI, so Seculert weiter. Einige der alten PHP-basierten Websites, die für die Angriffe verwendet wurden, hätten sich immer noch auf dem Server befunden. Laut Aviv Raff, Chief Technology Officer von Seculert, wurde der Java-Exploit auch nach dem Wechsel zu CGI weiter benutzt. Ob in den vergangenen Monaten allerdings auch jüngere Java-Lücken oder andere Browser-Plug-ins missbraucht wurden, sei bisher nicht klar. Da der Kommandoserver inzwischen abgeschaltet sei, seien weitere Untersuchungen unmöglich.

Raff weist auch auf eine mögliche Parallele zur Spionagesoftware Flame hin. Der gefundene Java-Exploit und auch die für die Verteilung des Schadcodes verwendeten Websites enthielten die Zeichenfolge “News”. Der Browser eines Opfers sei zudem nach einem Angriff auf legitime Nachrichten-Sites umgeleitet worden, darunter eine in der Türkei ansässige Seite. Auf für Flame verwendete Kommandoserver sei die Zeichenfolge “NewsForYou” gefunden worden. Dabei könne es sich aber auch um einen Zufall handeln.

Kaspersky hatte Anfang der Woche Details zur Cyberspionage-Kampagne Roter Oktober öffentlich. Angreifern ist es Kaspersky zufolge gelungen, über mehrere Jahre hinweg Daten von zahlreichen Geräten zu stehlen, darunter PCs und iPhones, aber auch Smartphones anderer Hersteller, Wechselfestplatten und Netzwerkausrüstung. Ziel waren vor allem Regierungssysteme beispielsweise in Botschaften.

Dem Bericht von Kaspersky zufolge verteilten die Angreifer ihre Malware durch sogenanntes Spear-Phishing – also in Form von gezielt versandten E-Mails, die Anwender zum Download einer Malware bringen sollten. Die Nachrichten enthielten manipulierte Dokumente, die bekannte Schwachstellen in Microsoft Word und Excel ausnutzten. Andere Methoden zur Verteilung der Schadprogramme seien möglicherweise nicht benutzt oder bisher noch nicht identifiziert worden, hatte Costin Raiu, Direktor von Kasperskys Forschungs- und Analyseteam, am Montag erklärt.

Raff vermutet Computerworld zufolge, dass Roter Oktober das Werk von Hackern ist, die es in erster Linie auf wertvolle Informationen abgesehen haben, die sich an interessierte Parteien weiterverkaufen lassen. Eine Regierung stecke wahrscheinlich nicht dahinter. Dieselbe Theorie verfolgen auch die Forscher von Kaspersky Lab, die die Cyberspionage-Kampagne als erstes entdeckt hatten.

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago