Sicherheit + Datenschutz 18. Juni 2020 1 Min Lesezeit

Sandworm Attacken auf Exim Mailserver oder: Ein Cyber-Krieg zwischen Ost und West?

Geschrieben von
Roger Klein
Sandworm Exim

Die National Security Agency (NSA) beschuldigt die GRU, den russischen Geheimdienst, hinter Cyberattacken — insbesondere auf den Mailserver Exim — zu stecken. Im Visier steht konkret das Sandworm-Team, der cybertechnische Arm des russischen Geheimdienstes. Bekannt ist die Gruppe auch als VoodooBear oder BlackEnergy Group.

Öffentlich bekannte Sicherheitslücke

Sandworm taucht regelmässig auf dem Radar der NSA und der westlichen 5-Eyes-Geheimdienstallianz auf. Dem Team werden Angriffe auf die Stromversorgung der Ukraine und Georgiens zugeschrieben — sowie die Verbreitung der Malware NotPetya und BadRabbit. Beweisbar ist das alles nicht, aber die Vorwürfe sind schwerwiegend.

Jetzt soll Sandworm auch hinter den Angriffen auf Exim stecken. Exim ist ein weitverbreiteter E-Mail-Server — rund die Hälfte aller Mailserver weltweit laufen darauf. Die ausgenutzte Schwachstelle, CVE-2019-10149, war zum Zeitpunkt der Angriffe längst öffentlich bekannt. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte vor dieser Lücke und stufte die Ausnutzung als fast trivial ein. Die Angreifer verschaffen sich Root-Rechte über eingeschleusten Schadcode — und das lässt sich auch aus der Ferne ausführen.

Exim Patches gegen Sandworm dringend empfohlen

Wer noch eine ältere Exim-Version betreibt, sollte jetzt handeln. Besonders gefährdet sind die Versionen 4.87 bis 4.91 — Microsoft wies in diesem Zusammenhang auf einen Linux-Wurm hin, der über genau diese Lücke angreift. Auch Azure-Nutzer standen im Fokus, auch wenn Microsoft dort inzwischen Sicherheitsvorkehrungen getroffen hat.

Die Empfehlung ist klar: Exim mindestens auf Version 4.93 aktualisieren. Die NSA empfiehlt ausserdem, auf Anzeichen kompromittierter Systeme zu achten und die folgenden IPs sowie Domains im Blick zu behalten: 95.216.13.196, 103.94.157.5 und hostapp.be — die der Geheimdienst Sandworm zuordnet.

Doug Cress, Leiter des NSA-Kollaborationszentrums für Cybersecurity, drängt zur Vorsicht — und das nicht grundlos. Anfang Mai 2020 hatte erst die Hälfte aller betroffenen Server das Update auf 4.93 eingespielt. Das war zu wenig.

Tags: CybercrimeMalware
Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2025-03-25 Cybermobbing im Visier: Wie die Schweiz auf digitale Belästigung reagieren will 2020-06-15 Hacker Testangriff: Über ein Drittel aller Mitarbeiter fällt auf Phishing herein 2020-04-28 Abwehr gegen gehackte Website – Die Google-Webmaster-Hilfe einfach erklärt

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG