Eine kürzlich geschlossene Sicherheitslücke in Google Chrome wurde monatelang für gezielte Spionageangriffe auf Organisationen in Russland und Belarus ausgenutzt. Die Angreifer nutzten eine hochentwickelte Spionagesoftware, die von einem italienischen Unternehmen entwickelt wurde, das aus dem umstrittenen Überwachungssoftware-Hersteller HackingTeam hervorging.
Die Attacken erfolgten über personalisierte E-Mails, die ihre Opfer auf manipulierte Webseiten lockten. Ein einfacher Klick genügte, um den Schadcode auf den Systemen der Betroffenen zu installieren und den Angreifern weitreichenden Zugriff zu ermöglichen.
Wichtige Erkenntnisse
- Eine Zero-Day-Lücke in Google Chrome (CVE-2025-2783) wurde für gezielte Angriffe missbraucht.
- Die Kampagne namens "Operation ForumTroll" zielte auf Organisationen in Russland und Belarus ab.
- Als Werkzeug diente eine bisher unbekannte Spionagesoftware namens "LeetAgent".
- Die Software stammt von Memento Labs, einem italienischen Unternehmen mit Verbindungen zum ehemaligen Überwachungssoftware-Anbieter HackingTeam.
Ein Klick mit weitreichenden Folgen
Die Angriffswelle, die mindestens seit Februar 2024 aktiv ist, nutzte eine ausgeklügelte Methode, um ihre Ziele zu kompromittieren. Mitarbeiter von Medienhäusern, Universitäten, Forschungseinrichtungen und Regierungsbehörden erhielten Phishing-E-Mails, die sie zur Teilnahme an einem Forum namens „Primakov Readings“ einluden.
In den E-Mails waren personalisierte und nur kurz gültige Links enthalten. Wer auf einen dieser Links mit dem Google Chrome Browser oder einem anderen Chromium-basierten Browser klickte, löste unbemerkt einen Exploit aus. Dieser nutzte die Sicherheitslücke CVE-2025-2783, um aus der geschützten Umgebung des Browsers, der sogenannten Sandbox, auszubrechen.
Was ist eine Sandbox-Escape-Lücke?
Moderne Webbrowser wie Google Chrome führen Webseiten in einer isolierten Umgebung, der Sandbox, aus. Dies soll verhindern, dass schädlicher Code von einer Webseite auf das eigentliche Betriebssystem zugreifen kann. Eine „Sandbox-Escape“-Schwachstelle ermöglicht es Angreifern, diese Schutzmauer zu durchbrechen und Befehle direkt auf dem Computer des Opfers auszuführen.
Sobald der Schutz des Browsers umgangen war, konnten die Angreifer Schadsoftware auf dem System installieren. In diesem Fall handelte es sich um ein Spionagewerkzeug, das speziell für diese Operation entwickelt wurde.
Die Spionagesoftware "LeetAgent"
Im Zentrum der Angriffe stand eine bisher unbekannte Spionagesoftware namens LeetAgent. Der Name leitet sich von der Verwendung von „Leetspeak“ (einer Art Netzjargon) für die internen Befehle der Software ab.
Nach der erfolgreichen Infektion verbindet sich LeetAgent mit einem Kontrollserver der Angreifer und wartet auf Anweisungen. Die Funktionalität der Software ist umfangreich und auf Datendiebstahl und Überwachung ausgelegt.
Fähigkeiten von LeetAgent
Die Malware kann eine Vielzahl von Aufgaben ausführen, um die Kontrolle über ein infiziertes System zu erlangen und sensible Informationen zu sammeln. Dazu gehören:
- Ausführen von Befehlen über die Windows-Kommandozeile
- Starten und Beenden von Prozessen
- Lesen und Schreiben von Dateien auf der Festplatte
- Einschleusen von weiterem Schadcode in laufende Programme
- Ändern der eigenen Konfigurationseinstellungen
- Vollständiges Löschen der eigenen Spuren (Selbstzerstörung)
Besonders besorgniserregend ist die Fähigkeit von LeetAgent, gezielt nach bestimmten Dateitypen zu suchen. Die Software kann so konfiguriert werden, dass sie automatisch Dokumente mit den Endungen *.doc, *.pdf, *.xls oder *.ppt stiehlt und an die Angreifer übermittelt.
Spuren führen nach Italien
Sicherheitsforscher konnten die eingesetzte Spionagesoftware dem italienischen Unternehmen Memento Labs zuordnen. Dieses Unternehmen entstand im April 2019 aus dem Zusammenschluss von InTheCyber Group und HackingTeam. Letzteres war ein weltweit bekannter, aber auch umstrittener Anbieter von Überwachungstechnologie für Regierungen und Strafverfolgungsbehörden.
„Dies war eine gezielte Spear-Phishing-Operation, keine breite, wahllose Kampagne“, erklärte Boris Larin, leitender Sicherheitsforscher bei Kaspersky. Er fügte hinzu, dass die Angreifer gute Russischkenntnisse zeigten, aber Fehler in einigen Fällen darauf hindeuteten, dass es sich nicht um Muttersprachler handelte.
HackingTeam geriet 2015 selbst in die Schlagzeilen, als das Unternehmen gehackt wurde und hunderte Gigabyte an internen Daten, inklusive Quellcode für Spionagesoftware, ins Netz gelangten. Die aktuellen Angriffe zeigen, dass das Know-how des Unternehmens unter neuem Namen weiterlebt.
Verbindung zu noch mächtigerer Spionagesoftware
Die Untersuchungen ergaben zudem eine beunruhigende Verbindung zu einer weiteren, noch fortschrittlicheren Spionagesoftware namens Dante. In mehreren Fällen wurde beobachtet, wie LeetAgent als eine Art Türöffner diente, um anschließend Dante auf kompromittierten Systemen zu installieren.
Dante gilt als Nachfolger der früheren HackingTeam-Software „Remote Control Systems“ (RCS) und verfügt über ausgefeilte Tarnmechanismen. Die Software verschleiert ihren Code, nutzt Anti-Analyse-Tricks und verschlüsselt fast alle internen Textbausteine, um eine Untersuchung durch Sicherheitsexperten zu erschweren.
Forscher fanden zahlreiche technische Überschneidungen zwischen den LeetAgent- und Dante-Angriffen, darunter identische Persistenzmechanismen, ähnliche Dateipfade und sogar geteilten Programmcode. Dies deutet stark darauf hin, dass hinter beiden Werkzeugen dieselben Entwickler oder Akteure stehen.
Obwohl die Chrome-Sicherheitslücke inzwischen von Google geschlossen wurde, zeigt der Vorfall eindrücklich, wie wertvoll solche Schwachstellen für staatlich unterstützte oder kommerzielle Spionageakteure sind. Anwender sollten sicherstellen, dass ihr Browser stets auf dem neuesten Stand ist, um sich vor derartigen Angriffen zu schützen.
