Wie das UR-Branchenmagazin Computerworld berichtet, fand die israelische Sicherheitsfirma Seculert in einem Ordner auf einem Kommandoserver ein gefährliches Java-Applet, das eine im Oktober 2011 gepatchte Schwachstelle ausnutzt.
Der Exploit wurde demnach im Februar 2012 kompiliert. Dadurch werde die Annahme gestützt, dass die Angreifer älteren, bekannten Anfälligkeiten gegenüber bisher unbekannten Zero-Day-Lücken den Vorzug geben, schreibt Seculert in einem Blogeintrag.
Ermöglicht wurde das Auffinden des Applets durch den Wechsel der serverseitigen Skriptsprache von PHP zu CGI, so Seculert weiter. Einige der alten PHP-basierten Websites, die für die Angriffe verwendet wurden, hätten sich immer noch auf dem Server befunden. Laut Aviv Raff, Chief Technology Officer von Seculert, wurde der Java-Exploit auch nach dem Wechsel zu CGI weiter benutzt. Ob in den vergangenen Monaten allerdings auch jüngere Java-Lücken oder andere Browser-Plug-ins missbraucht wurden, sei bisher nicht klar. Da der Kommandoserver inzwischen abgeschaltet sei, seien weitere Untersuchungen unmöglich.
Raff weist auch auf eine mögliche Parallele zur Spionagesoftware Flame hin. Der gefundene Java-Exploit und auch die für die Verteilung des Schadcodes verwendeten Websites enthielten die Zeichenfolge “News”. Der Browser eines Opfers sei zudem nach einem Angriff auf legitime Nachrichten-Sites umgeleitet worden, darunter eine in der Türkei ansässige Seite. Auf für Flame verwendete Kommandoserver sei die Zeichenfolge “NewsForYou” gefunden worden. Dabei könne es sich aber auch um einen Zufall handeln.
Kaspersky hatte Anfang der Woche Details zur Cyberspionage-Kampagne Roter Oktober öffentlich. Angreifern ist es Kaspersky zufolge gelungen, über mehrere Jahre hinweg Daten von zahlreichen Geräten zu stehlen, darunter PCs und iPhones, aber auch Smartphones anderer Hersteller, Wechselfestplatten und Netzwerkausrüstung. Ziel waren vor allem Regierungssysteme beispielsweise in Botschaften.
Dem Bericht von Kaspersky zufolge verteilten die Angreifer ihre Malware durch sogenanntes Spear-Phishing – also in Form von gezielt versandten E-Mails, die Anwender zum Download einer Malware bringen sollten. Die Nachrichten enthielten manipulierte Dokumente, die bekannte Schwachstellen in Microsoft Word und Excel ausnutzten. Andere Methoden zur Verteilung der Schadprogramme seien möglicherweise nicht benutzt oder bisher noch nicht identifiziert worden, hatte Costin Raiu, Direktor von Kasperskys Forschungs- und Analyseteam, am Montag erklärt.
Raff vermutet Computerworld zufolge, dass Roter Oktober das Werk von Hackern ist, die es in erster Linie auf wertvolle Informationen abgesehen haben, die sich an interessierte Parteien weiterverkaufen lassen. Eine Regierung stecke wahrscheinlich nicht dahinter. Dieselbe Theorie verfolgen auch die Forscher von Kaspersky Lab, die die Cyberspionage-Kampagne als erstes entdeckt hatten.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.