Die National Security Agency (NSA) teilte mit, dass Hacker des Russischen Militärnachrichtendienstes GRU, mindestens seit August 2019 eine Sicherheitslücke in der häufig verwendeten E-Mail-Software Exim Message Transfer Agent (MTA) ausgenutzt haben. Sie rät Administratoren dringend zu Patchen. Die Angriffswelle soll vom russischen GRU-Team „Sandworm“ ausgehen, welches von der Regierung unterstützt wird.

Die als „Sandworm-Team“ bekannte Gruppe, verwendet die Lücke, um ein Shell-Skript von einer durch sie kontrollierten Website herunter zu laden und auszuführen. Dadurch können sich die Hacker privilegierte Nutzerrechte einräumen, Netzwerksicherheitseinstellungen deaktivieren, SSH-Konfigurationen updaten und so weitere Zugriffsmöglichkeiten aus der Ferne eröffnen.

Patchen dringend empfohlen

Alle Exim-Versionen ab 4.87 sollen angreifbar sein. Die Hackergruppe greift über die kritische Schwachstelle CVE-2019-10149 an. Gegen die Beseitigung der Verwundbarkeit hilft aber nur ein zügiges Update auf die abgesicherte Exim-Version 4.92, veraltete Versionen werden weiter anfällig für Angriffe bleiben.

Es ist selten, dass eine Warnung der NSA über Angriffsversuche konkret einem nationalstaatlichen Akteur zugeschrieben wird. Die Gruppierung „Sandworm-Team“ ist seit mindestens einem Jahrzehnt in der Cyberwelt aktiv und auch als BlackEnergy Group, Telebots oder VoodooBear bekannt. Sie wurde mit groß angelegten Cyberattacken auf Regierungen und Organisationen aus dem Energie- oder Telekommunikationssektor aber auch auf die NATO und die Europäische Union in Verbindung gebracht. Im Februar diesen Jahres wurde die Gruppe vom US- Außenministerium sowie Großbritannien und Georgien beschuldigt, für die massiven Cyberangriffe auf staatliche und private Websites in Georgien verantwortlich zu sein.

Schwachstelle wird weiter genutzt

Die NSA geht davon aus, dass auch andere Cyberkriminelle diese Schwachstelle ausnutzen werden. Die Cybersecurity-Direktion der NSA erhielt nach einer Umstrukturierung im Oktober 2019 eine neue Ausrichtung und wurde damit beauftragt, noch nicht klassifizierte Bedrohungssituationen offen zu legen, damit Privatorganisationen Maßnahmen ergreifen können, um sich gegen Cyberangriffe zu schützen. Sie richtete am Mittwoch einen neuen Twitter-Account, @NSACyber, ein, über den auch alle neuen Entwicklungen zur Exim-Sicherheitslücke bekannt gegeben werden.