IE8-Lücke für Angriffe auf US-Energiesektor ausgenutzt

Die am Wochenende bekannt gewordene Sicherheitslücke im Internet Explorer 8 wurde wahrscheinlich bereits ausgenutzt, um Besucher einer Webseite mit dem Fernsteuerungs-Trojaner (RAT) Poison Ivy zu infizieren. Wie die Sicherheitsfirma Crowdstrike angibt, sei sie erst davon ausgegangen, dass eine bereits bekannte Lücke (CVE-2012-4792) im IE 6 bis 8 ausgenutzt wurde. Andere Sicherheitsexperten hätten aber auf einen Zero-Day-Exploit hingewiesen – die gerade gefundene IE 8-Lücke. Crowdstrike will darüber hinaus Hinweise gefunden haben, dass eine Kampagne chinesischen Ursprungs ausgeführt wurde. Die dafür verantwortliche Gruppe und die von ihr ausgehenden Kampagnen nennt die Sicherheitsfirma "Deep Panda".

Crowdstrike hatte "Deep Panda" schon in der Vergangenheit ausführlich analysiert (PDF-Datei). Die Gruppe nutzt Backdoor DLL- und Fernsteuerungstrojaner (RATs), die für "Waterhole-Attacken" eingesetzt werden. Das sind gezielte Cyber-Attacken, bei denen die Angreifer Webseiten kompromittieren, die ihre Zielpersonen höchstwahrscheinlich besuchen.

Die Schadsoftwarekampagne soll demnach bereits Mitte März begonnen und unter anderem Webseiten des US-Arbeitsministeriums betroffen haben. Die Seiten sollen die Angestellten von Energiekonzernen über Entschädigungsprogramme nach dem Kontakt mit Uran aufklären. Das lässt darauf schließen, dass die Angreifer den Energiesektor mit Energiekonzernen, Atomkraftwerken und Regierungsmitarbeiter im Blick haben. Ars Technica wies darauf hin, dass auch Mitarbeiter, die mit Atomwaffen arbeiten, zu den Zielen gehören. Bisher wurden insgesamt neun manipulierte Webseiten gefunden.

Bereits im Dezember 2012 ist eine Waterhole-Attacke auf einen US-amerikanischen Think Tank für auswärtige Beziehungen aufgedeckt worden. Diese Attacke wurde noch mit der Lücke im IE 6 bis 8 ausgeführt, die Crowdstrike zuerst für den aktuellen Angriff verantwortlich machte. (kbe)