Roter Oktober nutzt Java-Schwachstelle

Wie das UR-Branchenmagazin Computerworld berichtet, fand die israelische Sicherheitsfirma Seculert in einem Ordner auf einem Kommandoserver ein gefährliches Java-Applet, das eine im Oktober 2011 gepatchte Schwachstelle ausnutzt.

Der Exploit wurde demnach im Februar 2012 kompiliert. Dadurch werde die Annahme gestützt, dass die Angreifer älteren, bekannten Anfälligkeiten gegenüber bisher unbekannten Zero-Day-Lücken den Vorzug geben, schreibt Seculert in einem Blogeintrag.

Ermöglicht wurde das Auffinden des Applets durch den Wechsel der serverseitigen Skriptsprache von PHP zu CGI, so Seculert weiter. Einige der alten PHP-basierten Websites, die für die Angriffe verwendet wurden, hätten sich immer noch auf dem Server befunden. Laut Aviv Raff, Chief Technology Officer von Seculert, wurde der Java-Exploit auch nach dem Wechsel zu CGI weiter benutzt. Ob in den vergangenen Monaten allerdings auch jüngere Java-Lücken oder andere Browser-Plug-ins missbraucht wurden, sei bisher nicht klar. Da der Kommandoserver inzwischen abgeschaltet sei, seien weitere Untersuchungen unmöglich.

Raff weist auch auf eine mögliche Parallele zur Spionagesoftware Flame hin. Der gefundene Java-Exploit und auch die für die Verteilung des Schadcodes verwendeten Websites enthielten die Zeichenfolge “News”. Der Browser eines Opfers sei zudem nach einem Angriff auf legitime Nachrichten-Sites umgeleitet worden, darunter eine in der Türkei ansässige Seite. Auf für Flame verwendete Kommandoserver sei die Zeichenfolge “NewsForYou” gefunden worden. Dabei könne es sich aber auch um einen Zufall handeln.

Kaspersky hatte Anfang der Woche Details zur Cyberspionage-Kampagne Roter Oktober öffentlich. Angreifern ist es Kaspersky zufolge gelungen, über mehrere Jahre hinweg Daten von zahlreichen Geräten zu stehlen, darunter PCs und iPhones, aber auch Smartphones anderer Hersteller, Wechselfestplatten und Netzwerkausrüstung. Ziel waren vor allem Regierungssysteme beispielsweise in Botschaften.

Dem Bericht von Kaspersky zufolge verteilten die Angreifer ihre Malware durch sogenanntes Spear-Phishing – also in Form von gezielt versandten E-Mails, die Anwender zum Download einer Malware bringen sollten. Die Nachrichten enthielten manipulierte Dokumente, die bekannte Schwachstellen in Microsoft Word und Excel ausnutzten. Andere Methoden zur Verteilung der Schadprogramme seien möglicherweise nicht benutzt oder bisher noch nicht identifiziert worden, hatte Costin Raiu, Direktor von Kasperskys Forschungs- und Analyseteam, am Montag erklärt.

Raff vermutet Computerworld zufolge, dass Roter Oktober das Werk von Hackern ist, die es in erster Linie auf wertvolle Informationen abgesehen haben, die sich an interessierte Parteien weiterverkaufen lassen. Eine Regierung stecke wahrscheinlich nicht dahinter. Dieselbe Theorie verfolgen auch die Forscher von Kaspersky Lab, die die Cyberspionage-Kampagne als erstes entdeckt hatten.

Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

12 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

13 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago