Sandworm Attacken auf Exim Mailserver oder: Ein Cyber-Krieg zwischen Ost und West?

  • in der Kategorie Security
  • veröffentlicht.
Sandworm Exim

Die National Security Agency (NSA) beschuldigt die GRU, den russischen Geheimdienst, hinter Cyberattacken, insbesondere auf den Mailserver Exim, zu stecken. Die Beschuldigung richtet sich speziell an das Sandworm Team, welches der cybertechnische Arm des Geheimdienstes Russlands ist. Es wird zudem auch als VoodooBear oder BlackEnergy Group bezeichnet.

Öffentlich bekannte Sicherheitslücke

Die Gruppe steht immer wieder im Fokus der NSA und anderen Mitgliedern der westlichen 5-Eyes-Geheimdienstallianz. So soll Sandworm bereits in der Vergangenheit Angriffe auf die Stromversorgung der Ukraine, Georgien oder Attacken mit der Malware NotPetya und BadRabbit verübt haben.

Sämtliche Anschuldigungen sind schwerwiegend, aber nicht nachweisbar. Sandworm soll nun ausserdem die hiesigen Angriffe auf den Exim Server gestartet haben. Exim selbst ist ein weitverbreiteter Email-Server, der fast die Hälfte aller E-Mail-Server weltweit ausmacht. Seine Sicherheitslücke ist bereits öffentlich bekannt und zentriert sich auf die Schwachstelle CVE-2019-10149.

Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus Deutschland warnt vor einer fast schon trivialen Ausnutzung der Schwachstelle. Die Angreifer nutzen Schadcode auf den Exim Servern, indem sie sich Root-Rechte verschaffen und damit Aktionen steuern. Die Ausführung funktioniert also auch von der Ferne aus.

Exim Patches gegen Sandworm dringend empfohlen

Der Aufruf zum Patchen ist wieder da. Die Nutzer sollen also veraltete Versionen updaten. Selbst Microsoft warnt vor einem Angriff, der durch einen Linux-Wurm verursacht wurde. Besonders gefährdet seien die Exim Versionen 4.87 bis einschliesslich 4.91 sowie der Clouddienstleister Azure.

Die Gefahr bei Azure ist jedoch durch Sicherheitsvorkehrungen gebannt. Am besten ist es nun, die eigene Exim Version mindestens auf 4.93 zu updaten. Zusätzlich rät die NSA, dass die Nutzer auf Hinweise kompromittierter Systeme achten. Der Geheimdienst bringt dabei die IP-Adressen sowie Domains 95.216.13.196, 103.94.157.5 und hostapp.be mit dem russischen Geheimdienst und Sandworm in Verbindung.

Doug Cress, Leiter des NSA-Kollaborationszentrums für Cybersecurity, mahnt vehement zur Vorsicht. Diesen Aufruf macht er nicht ohne Grund, denn noch Anfang Mai 2020 waren lediglich die Hälfte aller Server auf das Update 4.93 gebracht worden. Dieses eher zurückhaltende Update-Verhalten sollte sich nun hoffentlich ändern.

16. April 2025KI

Prompt Engineering Leitfaden mit Tipps zu ChatGPT, Grok & Neuroflash

Prompt Engineering ist die Kunst und Wissenschaft, präzise und effektive Anweisungen (Prompts) für KI-Modelle wie ChatGPT, Neuroflash oder Grok zu

16. April 2025Webseite

WordPress 6.8 „Cecil“ ist da – Ein umfassender Überblick über die neuen Funktionen

Am 15. April 2025 wurde WordPress 6.8 veröffentlicht und bringt zahlreiche Verbesserungen in den Bereichen Performance, Sicherheit, Design und Benutzerfreundlichkeit

Weiterlesen
8. April 2025Analyse

Den ROI von KI-Tools messen und maximieren: Ein Leitfaden für Unternehmen

Den ROI von KI-Tools zu messen und maximieren ist für Unternehmen entscheidend, um Investitionen in Künstliche Intelligenz zu rechtfertigen. Wie

Weiterlesen
6. April 2025KI

KI-Tools für Unternehmen: Branchen, Anwendungsbereiche & konkrete Möglichkeiten

Künstliche Intelligenz (KI) ist längst kein Zukunftstraum mehr, sondern ein Werkzeug, das Unternehmen heute nutzen, um effizienter, kreativer und kundenorientierter

Weiterlesen
Zum Inhalt springen