Thought Leadership
Am Donnerstag, den 28. Mai 2020, veröffentlichte die NSA eine Sicherheitswarnung über Cyberattacken gegen E-Mail-Server, die von einer russischen Cyber-Spionagegruppe durchgeführt wurde. Ein Kommentar von Satnam Narang, Staff Research Engineer, Tenable.
Diese Gruppe, die auch als “Sandworm” bekannt ist, hackt seit August 2019 Exim-Server, indem sie eine kritische Schwachstelle ausnutzt, die als CVE-2019-10149 bezeichnet wird. Sandworm ist seit Mitte der 2000er Jahre aktiv und soll die Hackergruppe sein, die die Malware BlackEnergy entwickelt hat. Diese verursachte im Dezember 2015 und Dezember 2016 einen Stromausfall in der Ukraine. Die Gruppe entwickelte außerdem mutmaßlich die berüchtigte Ransomeware NotPetya, die Unternehmen auf der ganzen Welt Schäden in Milliardenhöhe zufügte.
Die NSA hat gerade erst die Security-Warnung veröffentlicht, dass staatliche russische Hacker CVE-2019-10149, eine kritische Schwachstelle zur Ausführung von Remote-Code in Exim, dem Unix Mail Transfer Agent (MTA), ausgenutzt haben. Diese Angriffe finden bereits seit August 2019 statt. Patches gegen die Schwachstelle sind seit Juni 2019 verfügbar, und bereits vier Tage nach der Veröffentlichung des Patches wurden Versuche festgestellt, die Schwachstelle auszunutzen. Damals waren laut der IoT-Suchmaschine Shodan 4,1 Millionen Systeme online, auf denen die ungepatchte Version von Exim lief. Heut weisen noch mehr als eine halbe Million Server die Schwachstelle CVE-2019-10149 auf.
Egal ob es sich um politisch oder finanziell orientierte Hacker handelt, die Situation dient erneut als Erinnerung daran, dass Cyberkriminelle meistens die einfach zu erreichenden Ziele angehen. Zero-Day-Attacken sind zwar spektakulär, aber bei längst bekannten Schwachstellen können Hacker mit viel weniger Aufwand enorme Wirkung erzielen. Das liegt daran, dass viele Unternehmen der noch gewaltigen Menge an neu entdeckten Schwachstellen einfach nicht Herr werden. Cyberkriminelle haben so einfaches Spiel, Schwachstellen wie diese auszunutzen.
Die Warnung der NSA folgt einem Hinweis der CISA (Cybersecurity Infrastructure and Security Agency), einer Abteilung des US-Ministeriums Department of Homeland Security. Dieser Hinweis warnte vor den 10 am häufigsten ausgenutzten Schwachstellen und zeigte erneut, dass Angreifer sich nicht auf Zero-Day-Schachstellen stürzen, sondern hauptsächlich ungepatchte Schwachstellen in Software wie Exim angehen.
