FireEye: Word-Lücke auch für staatliche Spionage benutzt

FireEye hat weitere Details zu der am Dienstag von Microsoft geschlossenen Zero-Day-Lücke in Word veröffentlicht. Demnach wurde die Schwachstelle nicht nur für die Verbreitung der Dridex-Malware benutzt, sondern auch, um russisch sprechende Opfer mit der Finspy-Malware anzugreifen. Finspy, auch als FinFisher bekannt, ist eine von der deutsch-britischen Gamma Group entwickelte kommerzielle Spionagesoftware. Zu deren Kunden soll auch die Bundesregierung gehören.

Schon ab dem 25. Januar wurde demnach versucht, Nutzer mit einem angeblichen Dekret des russischen Verteidigungsministeriums sowie einem Handbuch der „Volksrepublik Donezk“ zum Öffnen einer speziell präparierten Word-Datei zu verleiten. Die Datei wiederum nutzte die Anfang April bekannt gewordene Zero-Day-Lücke mit der Kennung CVE-2017-0199, um Finspy einzuschleusen und auszuführen.

Darüber hinaus wurde die Anfälligkeit aber auch schon vor ihrer Offenlegung von Cyberkriminellen eingesetzt. Sie verteilten darüber ab Anfang März die Malware Latentbot. Ihre Aufgabe ist das Sammeln von Anmeldedaten. FireEye unterstellt den Hackern eine rein finanzielle Motivation. „Latentbot ist eine modulare und sehr gut getarnte Malware, die erstmals im Dezember 2015 von FireEye entdeckt wurde“, teilte das Unternehmen mit.

Latentbot stehle nicht nur vertrauliche Daten, die Malware sei auch in der Lage, Daten oder ganze Festplatten zu löschen und Sicherheitssoftware abzuschalten. Außerdem verfüge sie über eine Fernwartungsfunktion. Nutzer locke die Schadsoftware unter anderem mit Dateinamen mit „Bewerbungsformular.doc“ und „!!!!Dringend!!!!Lesen!!!!.doc“.

FireEye will außerdem herausgefunden haben, dass die staatlichen Hacker und auch die Cyberkriminellen den Zero-Day-Exploit für Microsoft Word aus derselben Quelle erhalten haben. Als Beleg dafür sieht das Unternehmen die bis auf die Sekunde identischen Zeitstempel der von beiden Parteien benutzten präparierten Word-Dokumente an.

„Obwohl nur ein Finspy-Nutzer beobachtet wurde, der diesen Zero-Day-Exploit benutzt hat, legt die bisherige Reichweite von Finspy, das von mehreren Nationalstaaten eingesetzt wurde, die Vermutung nahe, dass mehrere Kunden Zugang dazu hatten“, lautet das Fazit von FireEye. Der Vorfall verdeutliche die globale Natur von Cyberbedrohungen und die Notwendigkeit einer weltweiten Betrachtungsweise. „Ein gegen Russen gerichteter Cyberspionage-Vorfall kann eine Gelegenheit sein, von Cyberverbrechen gegen englischsprechende Nutzer zu erfahren und sie zu unterbinden.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.