Symantec hat vor einem Trojaner gewarnt, der die internationale Energiebranche ausspionieren soll. Dem Blog des Sicherheitsunternehmens zufolge liegt der “Fokus auf dem Mittleren Osten”. Die Malware hat es Trojan.Laziok genannt.
Laziok ist dabei nur ein Teil einer mehrstufigen Kampagne und übernimmt die Rolle des Aufklärungswerkzeugs. Symantec hat die Angriffe eigenen Angaben zufolge im Januar und Februar beobachtet. Die Cyberkriminellen haben die Malware genutzt, um damit Zielsysteme zu infiltrierten. Anschließend entwendeten sie Daten zum System selbst und dem Netzwerk. Diese nahmen sie als Grundlage für die Vorbereitung weiterer Angriffe. Insgesamt sei es das Ziel, Betriebsgeheimnisse auszuspionieren.
Vor allem Firmen aus den Bereichen Erdöl-, Gas- und Heliumförderung gehören zu den Opfern der Angreifer. Am häufigsten betroffen sind die Länder Vereinigte Arabischen Emirate, Pakistan, Saudi-Arabien und Kuwait. Mit jeweils 5 Prozent der Infektion gehören auch die USA und Großbritannien zu den Zielen, aber bislang keine anderen europäischen Länder.
Die Angriffe gehen zunächst von der EU-Domain moneytrans[.]eu aus, ein SMTP-Server. Dieser verschickt E-Mails mit manipulierten Anhängen, die unter Windows die Schwachstelle CVE-2012-0158 in ActiveX ausnutzen. Dieser ermöglicht die Ausführung von Remote-Code. Zumeist tarnt sich der Downloader als Excel-Datei.
Ist der Trojaner erst einmal installiert, versteckt er sich in den Verzeichnissen %SystemDrive%\Documents und Settings\All Users\Application Data\System\Oracle. Seine Dateien gibt er dann legitim wirkende Namen wie search.exe und chrome.exe.
Im Anschluss sammelt der Trojaner Systemdaten wie Computernamen, installierte Software, RAM-Größe, CPU und installierte Antiviren-Anwendung. Diese übermittelt er an die Angreifer, die nun reagieren und zusätzlichen Schadcode aufspielen können, je nachdem, ob sie Schaden anrichten oder Daten stehlen wollen.
Symantec schreibt: “Die Gruppe hinter diesem Angriff wirkt nicht sehr entwickelt, da sie eine alte Schwachstelle nutzt und mit ihren Angriff bekannte Schadprogramme verteilt, wie sie im Untergrund-Markt erhältlich sind.” Allerdings gebe es offenbar ausreichend Opfer, die mehrere Jahre alte Schwachstellen ungepatcht ließen.
Bereits 2012 hatte sich die Malware Shamoon gegen die Energiebranche insbesondere im Mittleren Osten gerichtet. Sie konnte 30.000 Rechner eines Ölunternehmens aus Saudi-Arabien lahmlegen. Das übliche Vorgehen von Shamoon ist es, erst Daten zu stehlen und dann Dateien wie Dokumente, Bilder und Videos von betroffenen Rechnern mit einem Bild zu überschreiben. Gleiches führt es anschließend für den Master Boot Record aus – also das Inhaltsverzeichnis des Speichermediums und somit eine systemrelevante Datei. Danach ist es nicht mehr möglich, den betroffenen Rechner zu starten.
Kaspersky nannte Shamoon allerdings später “das Werk talentierter Amateure”. Es warf den Autoren des Schadprogramms “dumme Fehler” vor, etwa einen fehlerhaften Datumsabgleich und das Ersetzen von Kleinbuchstaben durch Großbuchstaben.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
„Aurora“ läuft beim Argonne National Laboratory des US-Energieministeriums und hat auf 87 Prozent des Systems…
Europäischer Supercomputer JEDI kommt auf den ersten Platz in der Green500-Liste der energieeffizientesten Supercomputer.
Data Awakening: Huawei präsentierte beim Innovative Data Infrastructure Forum 2024 in Berlin neue, auf KI…
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
Laut Kaspersky ist Schadsoftware die zweithäufigste Bedrohung. Angriffe auf vernetzte Fahrzeuge folgen erst mit Abstand.