An der Staatlichen Technischen Universität Moskau „N. E. Bauman“ lernen Studierende eines geheimen Lehrstuhls, wie man westliche Gesellschaften mit Propaganda destabilisiert oder in unterschiedlich gut gesicherte Rechner eindringen kann. Das und viel mehr hat ein internationales Rechercheteam anhand von mehr als 2000 internen Dokumenten der Universität herausgefunden, die „erstmals einen tiefen Einblick in diese Form der Agentenausbildung“ ermöglichen, wie „Der Spiegel“ ausführt. Es handelt sich demnach um Interna aus dem sogenannten „Lehrstuhl 4, Spezialausbildung“, der Ausbildungsaufgaben für den Militärgeheimdienst GRU übernimmt. Dem wurden eine ganze Reihe von Cyberangriffen der vergangenen Jahre zugeschrieben.

Direkte Einflussnahme auf die Ausbildung

Laut dem Spiegel ist der Lehrstuhl dafür verantwortlich, Agenten, Cyberangreifer und Saboteure für den Geheimdienst auszubilden. Dafür sei er in drei „militärische Fachrichtungen“ aufgeteilt, von denen der „Spezialdienst für Aufklärung“ für die IT-Ausbildung zuständig sei. Dort geht es demnach um „Informationskriegsführung, elektronische Aufklärung und IT-nahe Spezialkompetenzen“, wobei der GRU direkten Einfluss auf die Ausbildung nehmen würde. Laut den Dokumenten sendet der Geheimdienst Prüfer zu Examen, definiert die Anforderungen und genehmigt Kandidaten. Eingebunden seien einige der höchsten Personen aus den Bereichen für Cyberkriegsführung.

In einem Kurs „Abwehr technischer Aufklärung“ lernt man dem Bericht zufolge, „in insgesamt 144 Stunden über zwei Semester den kompletten Werkzeugkasten“ der modernen Cyberkriegsführung. Dabei gehe es etwa um das Eindringen in fremde Rechner mittels Passwortattacken, über das Ausnutzen von Sicherheitslücken oder mithilfe von Trojanern. Eine praktische Übung behandle „Penetrationstests mit Viren“, ein Modul „Computerviren und Würmer“. Am Kursende müssen die Studenten demnach einen Testserver hacken. Auch DDoS-Attacken gehören zum Lehrstoff. Zum Einsatz von Propaganda zitiert der Spiegel eine Praxisaufgabe folgendermaßen: „Erstelle ein Social-Video für ein beliebiges Thema, indem du Manipulation, Druck und versteckte Propaganda verwendest, um ein ‚heißes‘ Thema zu promoten oder zu entkräften“.

Die Dokumente geben dem Bericht zufolge auch einen Einblick in die jungen Männer selbst, die an dem geheimen Lehrstuhl ausgebildet werden. So konnten einigen von ihnen angeblich Konten in sozialen Netzen zugeordnet werden, die auf ein unverdächtiges Teenagerleben hindeuten. Am Lehrstuhl 4 sitzen sie dann aber wohl nicht ausschließlich vor dem Computer, zur Ausbildung gehört dem Bericht zufolge auch ein einmonatiges Trainingscamp, in das alle müssen. „Fotos zeigen junge, teils übergewichtige Männer in Tarnkleidung, die sich an Kletterstangen abstrampeln und Schießübungen mit einer Pistole machen“, schreibt der Spiegel zu Bildern dieses Teils der Ausbildung.

Zahlreiche Angriffe aus Russland

Wie die Medien an die Dokumente gelangt sind, schreibt der Spiegel nicht. Gleichzeitig weist das Nachrichtenmagazin darauf hin, dass Geheimdienste auch in Deutschland und anderen westlichen Staaten immer offener an Universitäten um Nachwuchs werben. Die Verbindung zwischen der Moskauer Universität und dem Militärgeheimdienst geht aber deutlich weiter. Zugleich geben die Dokumente Einblick in die Hintergründe teils verheerender Cyberattacken, die in den vergangenen Jahren für Aufsehen gesorgt haben. So schreibt der Spiegel, dass ein Absolvent kurz nach seinem Abschluss offenbar bei einer Spezialeinheit gelandet ist, die hinter der Malware NotPetya gesteckt haben soll. Die hat im Sommer 2017 weltweit für Chaos gesorgt.

(mho)

Stimmen die Voraussetzungen, können Angreifer auf einer Node.js-Instanz aus der vm2-Sandbox ausbrechen und Schadcode ausführen. Ein Proof-of-Concept-Exploit ist öffentlich, bislang gibt es aber keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Mittlerweile haben die Entwickler ein Sicherheitsupdate veröffentlicht.

Details zur Sicherheitslücke

Aus einer Warnmeldung auf GitHub geht hervor, dass die Schwachstelle (CVE-2026-26956) mit dem Bedrohungsgrad „kritisch“ eingestuft ist. Die Entwickler versichern, dass davon ausschließlich Node.js 25 bedroht ist. Sie geben an, die Lücke in v25.6.1 erfolgreich reproduziert zu haben. Von vm2 ist konkret die Versoin 3.10.4 verwundbar. Die Schwachstelle wurde in Version 3.10.5 geschlossen. Instanzen sind aber nur angreifbar, wenn WebAssembly exception handling und JSTag support aktiv sind.

Ist das gegeben, können Angreifer mit präparierten Anfragen Fehler auslösen, wodurch die vm2-Sicherheitsfilter umgangen werden. Im Anschluss können sie eigenen Code im Hostsystem ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Systeme im Anschluss als vollständig kompromittiert gelten. Weitere Details zur Lücke und einem möglichen Ablauf von Attacken führen die Entwickler in der Warnmeldung aus.

(des)

Mit der wöchentlichen Aktualisierung in der Nacht zum Mittwoch hat Google den Webbrowser Chrome auf den Versionszweig 148 gebracht. Zunächst blieb die Versionsankündigung leer – inzwischen ist klar: Darin haben die Entwickler 127 Sicherheitslücken gestopft.

In der Versionsankündigung reißen die Chrome-Programmierer wie üblich kurz an, welche Schwachstellen von externen IT-Forschern gemeldet wurden. Drei erreichen die Risikoeinstufung „kritisch“, für eine davon ist auch die Prämie für die Meldenden klar: 43.000 US-Dollar erhalten sie dafür. Es handelt sich dabei um einen Integer-Überlauf in der Rendering-Engine Blink (CVE-2026-7896, CVSS laut CISA 8.8, Risiko laut Google „kritisch“). Unter iOS haben die Entwickler sich um eine Use-after-free-Lücke gekümmert (CVE-2026-7897, CVSS laut CISA 7.5, Risiko laut Google „kritisch“). Das eingebaute Remote-Desktop-Tool Chromoting weist ebenfalls eine Use-after-free-Schwachstelle auf (CVE-2026-7898, CVSS laut CISA 8.8, Risiko laut Google „kritisch“).

Bei einer Use-after-free-Schwachstelle greift der Programmcode auf bereits freigegebene Ressourcen zu. Deren Inhalte sind dadurch undefiniert; Angreifer können solche Lücken oftmals zum Einschleusen und Ausführen von Schadcode missbrauchen. Dazu genügt bei Webbrowsern in der Regel das Anzeigen von sorgsam präparierten Webseiten. Weitere 31 Sicherheitslücken gelten als Risiko „hoch“, 66 als „mittlerer“ Bedrohungsgrad und 27 noch als „niedrige“ Risikostufe.

Die Sicherheitslücken schließen die Chrome-Versionen 148.0.7778.120 für Android, 148.0.7778.96 für Linux und 148.0.7778.96/97 für macOS und Windows. Wer Chrome einsetzt, sollte rasch sicherstellen, dass der Webbrowser auf aktuellem Stand ist. Bislang scheint noch keine der Schwachstellen missbraucht zu werden, zumindest schreibt Google nichts davon.

Aktualisierung installieren

Die Updates lassen sich über den Versionsdialog anwenden. Nach Klick auf das Browser-Menü, das sich hinter dem Icon mit den drei aufeinander gestapelten Punkten verbirgt, und weiter über „Hilfe“ zu „Über Google Chrome“ öffnet er sich. Er zeigt den aktuell laufenden Softwarestand an und startet bei Verfügbarkeit die Installation der Aktualisierung. Unter Linux ist in der Regel die Softwareverwaltung der Distribution dafür aufzurufen. In den App-Stores der Mobiltelefone sind die neuen Fassungen in der Regel mit etwas Verzögerung verfügbar.

Da die Sicherheitslücken die Chromium-Basis betreffen, sollten auch Nutzerinnen und Nutzer der darauf aufbauenden Webbrowser wie Microsofts Edge schauen, ob für die Browser inzwischen eine Aktualisierung verfügbar ist.

Das Chrome-Update aus der vergangenen Woche hatte bereits 30 Schwachstellen ausgebessert. Die KI-Schwachstellensuche scheint sehr erfolgreich zu sein und den Entwicklern einige Arbeit zu bescheren. Am Ende bedeutet das jedoch, dass die Software deutlich sicherer wird.

(dmk)