Sandworm Attacken auf Exim Mailserver oder: Ein Cyber-Krieg zwischen Ost und West?

  • in der Kategorie Security
  • veröffentlicht.
Sandworm Exim

Die National Security Agency (NSA) beschuldigt die GRU, den russischen Geheimdienst, hinter Cyberattacken, insbesondere auf den Mailserver Exim, zu stecken. Die Beschuldigung richtet sich speziell an das Sandworm Team, welches der cybertechnische Arm des Geheimdienstes Russlands ist. Es wird zudem auch als VoodooBear oder BlackEnergy Group bezeichnet.

Öffentlich bekannte Sicherheitslücke

Die Gruppe steht immer wieder im Fokus der NSA und anderen Mitgliedern der westlichen 5-Eyes-Geheimdienstallianz. So soll Sandworm bereits in der Vergangenheit Angriffe auf die Stromversorgung der Ukraine, Georgien oder Attacken mit der Malware NotPetya und BadRabbit verübt haben.

Sämtliche Anschuldigungen sind schwerwiegend, aber nicht nachweisbar. Sandworm soll nun ausserdem die hiesigen Angriffe auf den Exim Server gestartet haben. Exim selbst ist ein weitverbreiteter Email-Server, der fast die Hälfte aller E-Mail-Server weltweit ausmacht. Seine Sicherheitslücke ist bereits öffentlich bekannt und zentriert sich auf die Schwachstelle CVE-2019-10149.

Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus Deutschland warnt vor einer fast schon trivialen Ausnutzung der Schwachstelle. Die Angreifer nutzen Schadcode auf den Exim Servern, indem sie sich Root-Rechte verschaffen und damit Aktionen steuern. Die Ausführung funktioniert also auch von der Ferne aus.

Exim Patches gegen Sandworm dringend empfohlen

Der Aufruf zum Patchen ist wieder da. Die Nutzer sollen also veraltete Versionen updaten. Selbst Microsoft warnt vor einem Angriff, der durch einen Linux-Wurm verursacht wurde. Besonders gefährdet seien die Exim Versionen 4.87 bis einschliesslich 4.91 sowie der Clouddienstleister Azure.

Die Gefahr bei Azure ist jedoch durch Sicherheitsvorkehrungen gebannt. Am besten ist es nun, die eigene Exim Version mindestens auf 4.93 zu updaten. Zusätzlich rät die NSA, dass die Nutzer auf Hinweise kompromittierter Systeme achten. Der Geheimdienst bringt dabei die IP-Adressen sowie Domains 95.216.13.196, 103.94.157.5 und hostapp.be mit dem russischen Geheimdienst und Sandworm in Verbindung.

Doug Cress, Leiter des NSA-Kollaborationszentrums für Cybersecurity, mahnt vehement zur Vorsicht. Diesen Aufruf macht er nicht ohne Grund, denn noch Anfang Mai 2020 waren lediglich die Hälfte aller Server auf das Update 4.93 gebracht worden. Dieses eher zurückhaltende Update-Verhalten sollte sich nun hoffentlich ändern.

9. Juni 2025Security

Emailadresse gehackt? Leak Check endlich für deutschsprachigen Raum

Ob in Social Media, Online-Shops oder bei Streamingdiensten – für so gut wie jeden Dienst brauchst du eine E-Mail-Adresse. Doch

8. Juni 2025Allgemein

Von Wabsti zu Voting: Das neue System zur Wahlauswertung in der Schweiz

Im Kanton Zürich kam bei drei Urnengängen im September und November 2024 sowie im Februar 2025 erstmals die neue Applikation

Weiterlesen
4. Juni 2025Security

Immobilienbetrug online: Vorsicht vor gefälschten Inseraten und Fake-Verkäufern

Immobilienbetrug im Netz ist kein Einzelfall, sondern ein weit verbreitetes Phänomen – und es betrifft nicht nur Mietwohnungen, sondern auch

Weiterlesen
2. Juni 2025Marketing

Das Markenrecht bei KI-generierten Logos

Ein Firmenlogo ist das erste, was Kunden mit einer Marke verbinden – und dank Künstlicher Intelligenz lassen sich heute in

Weiterlesen
Zum Inhalt springen