Malware StoneDrill: Kaspersky legt Analyse vor

SicherheitVirus

Ähnlich wie die 2012 entdeckte Malware Shamoon kann auch kann auch StoneDrill auf einem infizierten Computer extremen Schaden anrichten. Zudem zeichnet sich StoneDrill durch besonders ausgefeilte Technologien aus, die eine Entdeckung verhindern sollen und spioniert betroffene Firmen aus.

Kaspersky Lab hat einen Untersuchungsbericht zur Malware StoneDrill vorgelegt. Es handelt sich dabei um eine besonders ausgefeilte Malware, hinter der möglicherweise staatliche Akteure aus dem Nahen Osten stecken. Spuren im Code weisen auf den Iran hin – sie könnten aber auch absichtlich eingefügt worden sein, um die Ermittlungen auf eine falsche Spur zu lenken.

Kaspersky (Bild: Kaspersky)

Ähnlich wie bei der 2012 entdeckten Malware Shamoon richten sich die Angriffe vorrangig gegen Firmen in der Öl- und Gasbranche und dort wiederum in erster Linie gegen Unternehmen in Saudi-Arabien. Diese Branche gerät öfter ins Visier von Malware-Autoren: 2015 entdeckte Symantec eine Laziok gennante Malware, die allerdings Firmen der Öl- und Gasbranche weltweit ausspionierte. Laut Kaspersky richtet sich StoneDrill aber ebenso wie Shamoon vor allem gegen Einrichtungen in Saudi-Arabien, die Malware wurde aber zumindest einmal auch schon in Europa beobachtet.

Die Malware StoneDrill wurde von Kaspersky Lab bei der Untersuchung der Ende 2016 aufgetauchten und als “Shamoon 2.0” bezeichneten Malware entdeckt. Dabei handelte es sich um eine umfangreiche Angriffskampagne mit einer stark aktualisierten Version der Malware aus dem Jahr 2012. StoneDrill ist Kaspersky Lab zufolge zwar Shamoon 2.0 sehr ähnlich, gleichzeitig aber raffinierter aufgebaut.

Ausgewählte Whitepaper

Digitale Transformation: Vier gelungene Beispiele

Unternehmen brauchen eine Strategie die sicherstellt, dass für Nutzer On-Demand-Services mit der erwarteten Performance und Benutzerfreundlichkeit bereitgestellt werden. Die alten, Hardware-basierten IT-Ansätze können das bald nicht mehr leisten. Hier erfahren Sie, wie vier Firmen die digitale Transformation geschafft haben.

Wie Shamoon kann StoneDrill auf einem infizierten Computer erheblichen Schaden anrichten. Zudem verfügt auch StoneDrill über fortschrittliche Technologien, die die Entdeckung extrem erschweren und ist mit diversen Spionage-Tools ausgestattet.

Shamoon schaltete den Sicherheitsexperten zufolge 2012 rund 35.000 Computer einer Öl- und Gasfirma im Nahen Osten aus. Der Angriff gefährdete potenziell zehn Prozent der weltweiten Ölversorgung. Es handelte sich Kaspersky Lab zufolge dabei um einen einmaligen Angriff, über die Akteure ist nichts Genaues bekannt. Dass sich im Code arabisch-jemenitische Sprachelemente fanden, deutet zwar auf Hintermänner im Jemen hin, die Spur könnte aber auch absichtlich falsch gelegt sein.

Wie sich StoneDrill ausbreitet, ist noch nicht bekannt. Gelangt das Schadprogramm auf ein Gerät, injiziert es sich in den Speicher des Browsers. Dabei nutzt die Malware zwei komplexe Anti-Emulationstechniken, um dadurch installierte Sicherheitslösungen zu überlisten. Anschließend beginnt die Malware mit der Zerstörung und Sabotage.

Naher und Mittlerer Osten Landkarte (Bild: Shutterstock)
Die Malware StoneDrill könnte ebenso wie die sehr ähnliche Malware Shamoon Teil des Kräftemessens zwischen Saudi-Arabien und dem Iran im Nahen Osten sein (Bild: Shutterstock)

Laut den Experten von Kaspersky Lab umfasst StoneDrill neben der Zerstörungsfunktion auch ein Backdoor-Programm, das anscheinend von denselben Code-Schreibern entwickelt wurde und für Cyberspionage verwendet werden kann. Zudem fanden die Kaspersky-Experten vier Command-and-Control-Panel, die die Angreifer für die Cyberspionage gegen eine unbekannte Anzahl von Zielobjekten nutzen.

StoneDrill unterscheidet sich von Shamoon im Wesentlichen durch einen wohl unabhängig von Shamoon erstellten Code-Teil. Außerdem wurden im Code Ähnlichkeiten mit älterer bekannter Malware festgestellt, vor allem der Malware NewsBeef APT (auch als Charming Kitten bekannt). Über Absichten und Motivation der StoneDrill-Entwickler ist man bei Kaspersky aber nach wie vor weitgehend im Unklaren.

“Ist StoneDrill ein weiterer Wiper der Shamoon-Akteure? Oder stecken hinter StoneDrill und Shamoon zwei unterschiedliche und nicht miteinander verbundene Gruppen, die gerade zufällig saudische Organisationen anvisierten? Oder handelt es sich um zwei unterschiedliche Gruppen, die untereinander ihre Ziele abgleichen?”, fragt sich Mohamad Amin Hasbini, Senior Security Researcher bei Kaspersky Lab. “Letzteres ist wohl am wahrscheinlichsten: betrachtet man die Artefakte genauer, sieht man, dass bei Shamoon arabisch-jemenitische Sprachelemente auftauchen, während bei StoneDrill Persisch überwiegt. Experten für Geopolitik würden wohl davon ausgehen, dass sowohl der Iran als auch der Jemen Akteure im Stellvertreterkonflikt zwischen dem Iran und Saudi-Arabien sind; und Saudi-Arabien das Land ist, in dem die meisten Opfer dieser Operation gefunden wurden. Aber natürlich lässt sich nicht ausschließen, dass hierbei auch unter falscher Flagge operiert werden könnte.”

Ausgewähltes Whitepaper

Nutzen und Vorteile der Integration von ECM- und ERP-Software

Ein ECM-System kann besonders dort eine wichtige Ergänzung zu einer bereits bestehenden ERP-Lösung darstellen, wo geschäftsrelevante Dokumente separat abgelegt und mit ERP-Datensätzen verknüpft werden sollen, um Geschäftsprozesse vollständig digital abbilden zu können. Dieses Whitepaper beschreibt die Vorteile an einem konkreten Beispiel.

Um sich vor derartigen Attacken zu schützen, rät Kaspersky Lab Organisationen zu einer Sicherheitsbewertung des Kontrollnetzwerks (Security Audit, Penetrationstest, Gap-Analyse) um damit Sicherheitslücken identifizieren und zu schließen. Außerdem sollten sie Zulieferer sowie die Sicherheitsrichtlinien von Drittanbietern überprüfen, falls diese direkten Zugriff auf das Steuerungsnetzwerk haben. Wichtig sei es außerdem, die Angestellten zu schulen: Besonders operativ und technische tätige Mitarbeiter sollten ihr Bewusstsein für aktuelle Bedrohungen und Angriffe schärfen. Unternehmen sollten zudem erweiterte Schutzmethoden in Betracht ziehen, etwa regelmäßige Integritätsprüfungen und eine spezialisierte Netzwerküberwachung.

[mit Material von Anja Schmoll-Trautmann, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen