Die National Security Agency (NSA) beschuldigt die GRU, den russischen Geheimdienst, hinter Cyberattacken, insbesondere auf den Mailserver Exim, zu stecken. Die Beschuldigung richtet sich speziell an das Sandworm Team, welches der cybertechnische Arm des Geheimdienstes Russlands ist. Es wird zudem auch als VoodooBear oder BlackEnergy Group bezeichnet.
Öffentlich bekannte Sicherheitslücke
Die Gruppe steht immer wieder im Fokus der NSA und anderen Mitgliedern der westlichen 5-Eyes-Geheimdienstallianz. So soll Sandworm bereits in der Vergangenheit Angriffe auf die Stromversorgung der Ukraine, Georgien oder Attacken mit der Malware NotPetya und BadRabbit verübt haben.
Sämtliche Anschuldigungen sind schwerwiegend, aber nicht nachweisbar. Sandworm soll nun ausserdem die hiesigen Angriffe auf den Exim Server gestartet haben. Exim selbst ist ein weitverbreiteter Email-Server, der fast die Hälfte aller E-Mail-Server weltweit ausmacht. Seine Sicherheitslücke ist bereits öffentlich bekannt und zentriert sich auf die Schwachstelle CVE-2019-10149.
Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus Deutschland warnt vor einer fast schon trivialen Ausnutzung der Schwachstelle. Die Angreifer nutzen Schadcode auf den Exim Servern, indem sie sich Root-Rechte verschaffen und damit Aktionen steuern. Die Ausführung funktioniert also auch von der Ferne aus.
Exim Patches gegen Sandworm dringend empfohlen
Der Aufruf zum Patchen ist wieder da. Die Nutzer sollen also veraltete Versionen updaten. Selbst Microsoft warnt vor einem Angriff, der durch einen Linux-Wurm verursacht wurde. Besonders gefährdet seien die Exim Versionen 4.87 bis einschliesslich 4.91 sowie der Clouddienstleister Azure.
Die Gefahr bei Azure ist jedoch durch Sicherheitsvorkehrungen gebannt. Am besten ist es nun, die eigene Exim Version mindestens auf 4.93 zu updaten. Zusätzlich rät die NSA, dass die Nutzer auf Hinweise kompromittierter Systeme achten. Der Geheimdienst bringt dabei die IP-Adressen sowie Domains 95.216.13.196, 103.94.157.5 und hostapp.be mit dem russischen Geheimdienst und Sandworm in Verbindung.
Doug Cress, Leiter des NSA-Kollaborationszentrums für Cybersecurity, mahnt vehement zur Vorsicht. Diesen Aufruf macht er nicht ohne Grund, denn noch Anfang Mai 2020 waren lediglich die Hälfte aller Server auf das Update 4.93 gebracht worden. Dieses eher zurückhaltende Update-Verhalten sollte sich nun hoffentlich ändern.