Malware StoneDrill: Kaspersky legt Analyse vor

fabrik-industrie (Bild: Shutterstock)

Ähnlich wie die 2012 entdeckte Malware Shamoon kann auch kann auch StoneDrill auf einem infizierten Computer extremen Schaden anrichten. Zudem zeichnet sich StoneDrill durch besonders ausgefeilte Technologien aus, die eine Entdeckung verhindern sollen und spioniert betroffene Firmen aus.

Kaspersky Lab hat einen Untersuchungsbericht zur Malware StoneDrill vorgelegt. Es handelt sich dabei um eine besonders ausgefeilte Malware, hinter der möglicherweise staatliche Akteure aus dem Nahen Osten stecken. Spuren im Code weisen auf den Iran hin – sie könnten aber auch absichtlich eingefügt worden sein, um die Ermittlungen auf eine falsche Spur zu lenken.

Kaspersky (Bild: Kaspersky)

Ähnlich wie bei der 2012 entdeckten Malware Shamoon richten sich die Angriffe vorrangig gegen Firmen in der Öl- und Gasbranche und dort wiederum in erster Linie gegen Unternehmen in Saudi-Arabien. Diese Branche gerät öfter ins Visier von Malware-Autoren: 2015 entdeckte Symantec eine Laziok gennante Malware, die allerdings Firmen der Öl- und Gasbranche weltweit ausspionierte. Laut Kaspersky richtet sich StoneDrill aber ebenso wie Shamoon vor allem gegen Einrichtungen in Saudi-Arabien, die Malware wurde aber zumindest einmal auch schon in Europa beobachtet.

Die Malware StoneDrill wurde von Kaspersky Lab bei der Untersuchung der Ende 2016 aufgetauchten und als “Shamoon 2.0” bezeichneten Malware entdeckt. Dabei handelte es sich um eine umfangreiche Angriffskampagne mit einer stark aktualisierten Version der Malware aus dem Jahr 2012. StoneDrill ist Kaspersky Lab zufolge zwar Shamoon 2.0 sehr ähnlich, gleichzeitig aber raffinierter aufgebaut.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Wie Shamoon kann StoneDrill auf einem infizierten Computer erheblichen Schaden anrichten. Zudem verfügt auch StoneDrill über fortschrittliche Technologien, die die Entdeckung extrem erschweren und ist mit diversen Spionage-Tools ausgestattet.

Shamoon schaltete den Sicherheitsexperten zufolge 2012 rund 35.000 Computer einer Öl- und Gasfirma im Nahen Osten aus. Der Angriff gefährdete potenziell zehn Prozent der weltweiten Ölversorgung. Es handelte sich Kaspersky Lab zufolge dabei um einen einmaligen Angriff, über die Akteure ist nichts Genaues bekannt. Dass sich im Code arabisch-jemenitische Sprachelemente fanden, deutet zwar auf Hintermänner im Jemen hin, die Spur könnte aber auch absichtlich falsch gelegt sein.

Wie sich StoneDrill ausbreitet, ist noch nicht bekannt. Gelangt das Schadprogramm auf ein Gerät, injiziert es sich in den Speicher des Browsers. Dabei nutzt die Malware zwei komplexe Anti-Emulationstechniken, um dadurch installierte Sicherheitslösungen zu überlisten. Anschließend beginnt die Malware mit der Zerstörung und Sabotage.

Naher und Mittlerer Osten Landkarte (Bild: Shutterstock)
Die Malware StoneDrill könnte ebenso wie die sehr ähnliche Malware Shamoon Teil des Kräftemessens zwischen Saudi-Arabien und dem Iran im Nahen Osten sein (Bild: Shutterstock)

Laut den Experten von Kaspersky Lab umfasst StoneDrill neben der Zerstörungsfunktion auch ein Backdoor-Programm, das anscheinend von denselben Code-Schreibern entwickelt wurde und für Cyberspionage verwendet werden kann. Zudem fanden die Kaspersky-Experten vier Command-and-Control-Panel, die die Angreifer für die Cyberspionage gegen eine unbekannte Anzahl von Zielobjekten nutzen.

StoneDrill unterscheidet sich von Shamoon im Wesentlichen durch einen wohl unabhängig von Shamoon erstellten Code-Teil. Außerdem wurden im Code Ähnlichkeiten mit älterer bekannter Malware festgestellt, vor allem der Malware NewsBeef APT (auch als Charming Kitten bekannt). Über Absichten und Motivation der StoneDrill-Entwickler ist man bei Kaspersky aber nach wie vor weitgehend im Unklaren.

“Ist StoneDrill ein weiterer Wiper der Shamoon-Akteure? Oder stecken hinter StoneDrill und Shamoon zwei unterschiedliche und nicht miteinander verbundene Gruppen, die gerade zufällig saudische Organisationen anvisierten? Oder handelt es sich um zwei unterschiedliche Gruppen, die untereinander ihre Ziele abgleichen?”, fragt sich Mohamad Amin Hasbini, Senior Security Researcher bei Kaspersky Lab. “Letzteres ist wohl am wahrscheinlichsten: betrachtet man die Artefakte genauer, sieht man, dass bei Shamoon arabisch-jemenitische Sprachelemente auftauchen, während bei StoneDrill Persisch überwiegt. Experten für Geopolitik würden wohl davon ausgehen, dass sowohl der Iran als auch der Jemen Akteure im Stellvertreterkonflikt zwischen dem Iran und Saudi-Arabien sind; und Saudi-Arabien das Land ist, in dem die meisten Opfer dieser Operation gefunden wurden. Aber natürlich lässt sich nicht ausschließen, dass hierbei auch unter falscher Flagge operiert werden könnte.”

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Um sich vor derartigen Attacken zu schützen, rät Kaspersky Lab Organisationen zu einer Sicherheitsbewertung des Kontrollnetzwerks (Security Audit, Penetrationstest, Gap-Analyse) um damit Sicherheitslücken identifizieren und zu schließen. Außerdem sollten sie Zulieferer sowie die Sicherheitsrichtlinien von Drittanbietern überprüfen, falls diese direkten Zugriff auf das Steuerungsnetzwerk haben. Wichtig sei es außerdem, die Angestellten zu schulen: Besonders operativ und technische tätige Mitarbeiter sollten ihr Bewusstsein für aktuelle Bedrohungen und Angriffe schärfen. Unternehmen sollten zudem erweiterte Schutzmethoden in Betracht ziehen, etwa regelmäßige Integritätsprüfungen und eine spezialisierte Netzwerküberwachung.

[mit Material von Anja Schmoll-Trautmann, ZDNet.de]