Java-hul og snedige mails udnyttes af spionage-netværk

Et sikkerhedshul i Java udnyttes i stort spionage-netværk. Desuden kan en helt særlig type e-mails lokke dig i fælden.

Artikel top billede

Læs også:

Firma afslører stort it-spionagenetværk

Så voldsomt blev vi ramt af sikkerhedshullet i Java

Computerworld News Service: De hundredevis af statslige, militære og forskningsmæssige institutioner, der er mål for en it-spionagekampagne i stor skala ved navn Red October, angribes ikke alene via skadelige Excel- og Word-dokumenter, som tidligere antaget.

Det sker også via webbaserede Java-angreb.

Det oplyser det israelske it-sikkerhedsfirma Seculert.

Analytikere fra antivirusleverandøren Kaspersky Lab offentliggjorde tidligere på ugen resultaterne af en undersøgelse af Red October.

Målene angribes ifølge denne rapport via e-mail, der har vedhæftet skadelige dokumenter, der er designet til at udnytte kendte sårbarheder i Microsoft Excel og Word.

Costin Raiu, der er leder af Kasperskys team for global undersøgelse og analyse, udtalte dog, at det er meget muligt, at der også anvendes andre metoder til distribution af spionage-malwaren, men at de i så fald ikke er blevet identificeret endnu.

Java udnyttes også

I forbindelse med analyse af kampagnens kommando og kontrol-servere har sikkerhedsanalytikere fra Seculert dog opdaget en særlig mappe med en skadelig Java-applet - det vil sige en webbaseret Java-applikation - designet til at udnytte en sårbarhed i Java, der blev rettet i oktober 2011.

Denne exploit blev kompileret i februar 2012, hvilket underbygger den antagelse, at angriberne foretrækker at gå efter ældre, kendte sikkerhedshuller fremfor hidtil ukendte såkaldte 0-dagssårbarheder, argumenterer analytikerne fra Seculert i et blogindlæg.

Denne opdagelse var i det hele taget mulig, fordi angriberne på et tidspunkt er gået fra at bruge PHP som scripting-sprog på deres kommando og kontrol-servere til at bruge CGI.

Visse ældre PHP-baserede angrebssider lå dog stadig på serverne og ved at åbne dem i en browser kunne analytikerne fra Seculert kigge i kildekoden.

Sådan angriber de kriminelle

Det ser ud til, at den webbaserede angrebsmetode fortsat blev brugt efter skiftet til CGI, oplyser Aviv Raff, der er Seculerts teknologidirektør. 

Det står dog ikke klart, om Red October i de sidste få måneder efter skiftet har udnyttet nyere sårbarheder i Java eller andre browser-plugins, påpeger han.

Det er på nuværende tidspunkt ikke muligt at foretage yderligere undersøgelser, da de kendte kommando og kontrol-servere er blevet lukket ned, sandsynligvis af angriberne i et forsøg på at slette deres spor, fortæller Raff.

It-spionage-kampagnen er hovedsageligt blevet gennemført ved, at personer i de angrebne organisationer er blevet narret med målrettede e-mails til at besøge angrebssider, oplyser analytikerne fra Seculert.

Ordlyden af denne såkaldte spear phishing-mail kendes ikke, da ingen af disse e-mails er blevet fundet eller offentliggjort, men de har sandsynligvis et nyhedsorienteret tema, oplyser Raff.

Angrebssiderne, Java-exploiten og webadresserne til selve malwaren indeholder strenge med ordet nyheder, fortæller Raff.

Når angrebssiden har indlæst Java-exploiten, vil offerets browser endda blive omdirigeret til legitime nyhedswebsteder heriblandt et tyrkisk websted.

Hænger det sammen med Flame?

Det er interessant at bemærke, at de kommando og kontrol-servere, der blev brugt i it-spionage-kampagnen Flame, indeholdt strengen "NewsForYou", hvilket antyder, at der også her blev brugt et nyhedsorienteret tema i forbindelse med angrebene.

Det står indtil videre ikke klart, om dette blot er et tilfælde, eller om de to kampagner er relaterede, påpeger Raff.

Raff vurderer, at Red October er udført af en gruppe hackere, der indsamler værdifulde fortrolige oplysninger, som de senere kan sælge til interesserede parter, fremfor at være resultatet af en nationalstats it-spionage-aktiviteter.

Kaspersky Lab, som først opdagede dette nye omfattende it-spionagenetværk, oplyser ligeledes, at der indtil videre ikke er fundet nogen beviser, der peger på, at det skulle være statssponsoreret.                   

Oversat af Thomas Bøndergaard

Læs også: 

Firma afslører stort it-spionagenetværk

Så voldsomt blev vi ramt af sikkerhedshullet i Java

Event: Computerworld Cloud & AI Festival 2026

Digital transformation | Ballerup

Eksplosiv udvikling i cloud og AI kræver overblik og viden. Computerworld samler 3.000 it-professionelle, 70+ leverandører og 120+ talere om AI, infrastruktur, data, compliance og sikkerhed. To dage med viden og netværk. Tilmeld dig nu.

16 & 17 september 2026 | Gratis deltagelse

Everllence

Senior Embedded Software Engineer

Københavnsområdet

Rambøll Management Consulting

Senior Software Engineer

Midtjylland

Netcompany A/S

IT Consultant

Midtjylland

Forsvarsministeriets Materiel- og Indkøbsstyrelse

MLOps Engineer til opbygning af Forsvarets nye AI-platform

Nordjylland

Navnenyt fra it-Danmark

Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

Kari Lehtimäki

Den danske eID-virksomhed Idura

Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

Honey Arora

Immeo

Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

Iver Jakobsen

Comsystem A/S