Einzelheiten über den „Auslöscher“ und Sony-Angreifer Destover veröffentlicht

Sicherheitsexperten haben begonnen, die Hinweise über den “Daten radierenden“ Schädling zu einem Gesamtbild zusammenzusetzen, der Sony Pictures Entertainment einen schweren Schlag versetzt hat: Nicht nur tausende Dateien, darunter auch unveröffentlichte Filme, vertrauliche Präsentationen, Finanzdaten, Mitarbeiterinformationen, Passwörter und vieles mehr wurden abgefischt, sondern auch eine nicht benannte Zahl von Computern wurde von dem Schadcode lahmgelegt, der als Destover identifiziert wurde.

Zerstörerische Attacken dieser Art sind nichts Neues, sie kommen in unterschiedlicher Ausprägung häufig vor. Kleine Unternehmen und Privatpersonen fallen immer neuen Arten von Erpresserprogrammen zum Opfer. CryptoLocker beispielsweise verschlüsselt Dateien auf einem kompromittierten Rechner und verspricht dann den Dechiffrierungsschlüssel im Austausch gegen ein Lösegeld.

Destover und Programme seiner Art sind weitaus gefährlicher, da sie den Master Boot Record auf der Festplatte des Computers überschreiben, und damit nicht nur den Rechner funktionsunfähig machen, nachdem sie ihn vollständig leergeräumt haben, sondern auch eine Spur hinterlassen, der die Sicherexperten dann folgen können.

Der IT-Sicherheitsexperte Kurt Baumgartner von Kaspersky Lab hat einen Bericht veröffentlicht, in dem die Funktionalität von Destover aufgedeckt und Ähnlichkeiten zwischen diesem Schädling und Code beschrieben werden, der in den Angriffen von Shamoon auf Saudi Aramco und DarkSeoul zum Einsatz kam, die im letzten Jahr in Südkorea registriert wurden.

Bei allen drei Attacken bemerkte Baumgartner den Einsatz von kommerziell verfügbaren Dateien des Drivers Eldos RawDisk (Shamoon und Destover), die in der Sektion der Dropperressource platziert waren (Shamoon und Destover), und er stellte fest, dass die Daten auf der Festplatte und der MBR mit einer verschlüsselten politischen Botschaft überschrieben wurden (Shamoon, DarkSeoul).

Destover wurde laut Aussage Baumgartners irgendwann innerhalb der letzten 48 Stunden vor dem Angriff kompiliert, was wiederum Ähnlichkeiten zur DarkSeoul-Attacke aufweist, doch die Cyberkriminellen hatten sich schon sehr lange vorher im Netz eingenistet. Shamoon wurde ebenfalls nur wenige Tage vor dem Angriff auf Aramco kompiliert – überaus enge Zeitpläne, bedenkt man die Zahl der außer Gefecht gesetzten Workstations (mehr als 30.000).

„In allen drei Fällen – Shamoon, DarkSeoul und Destover – hat keine der Gruppen, die Anspruch auf die Autorenschaft destruktiver Auswirkungen in großen Netzen erheben, eine eigene Geschichte und werden nicht als reale Personen identifiziert“, schreibt Baumgartner. „Alle haben versucht, nach der Durchführung des Angriffs zu verschwinden und haben keine klaren Erklärungen abgegeben, haben dafür aber hintenherum seltsame Beschuldigungen ausgesprochen und versucht, ihr Vorgehen mit irgendwelchen Aufsehen erregenden politischen Ereignissen zu rechtfertigen, die angeblich der Grund für die Attacken gewesen sind.“

Im Fall von Destover wird beispielsweise Nordkorea des Angriffs auf Sony beschuldigt, um die bevorstehende Veröffentlichung des Films „The Interview“ zu verhindern – eine Komödie, in der zwei Journalisten den CIA-Auftrag bekommen, den Diktator Kim Jong Un zu töten. Als im Juni Details zu „The Interview“ veröffentlicht wurden, verurteilten Vertreter des nordkoreanischen Außenministeriums den Film und nannten ihn „einen himmelschreienden Akt des Terrorismus und des Krieges“.

In seinem Artikel zeigt Baumgartner auch andere Ähnlichkeiten zwischen diesen drei Attacken auf, unter anderem die Verwendung der Treiber von EldoS RawDisk zum Überschreiben von Daten und des MBR, den Einsatz von Backdoors und die Möglichkeit der Datenwiederherstellung.

„Die oben aufgeführten Ähnlichkeiten beweisen natürlich nicht, dass die Gruppe hinter Shamoon mit den Teams hinter DarkSeoul und Destover identisch ist. Doch man sollte auch beachten, dass die Reaktionsmaßnahmen sowie die operativen und instrumentellen Charakteristika aller Gruppen ähnliche Züge tragen“, schreibt Baumgartner. „Und es ist erstaunlich, dass solche ungewöhnlichen und zielgerichteten Attacken großangelegter Cyberzerstörung mit eindeutig identifizierbaren Ähnlichkeiten ausgetragen werden.“

Die Sony-Saga nahm nicht nur auf Grund der immer größer werdenden Datenlecks Fahrt auf, sondern auch gerade nachdem das FBI eine vertrauliche Mitteilung an amerikanische Unternehmen veröffentlicht hatte, in der diese vor möglichen Attacken von Schädlingen gewarnt werden, die Daten ausradieren.

In seiner Erklärung nannte das FBI keine Namen von Opfern, doch auf seiner Website berichtet Ars Technica, dass ein entsprechendes Memo existiert und veröffentlicht einen Teil seines Inhalts, inklusive der Snort-Regel für die Blockierung des Signals, das an die C&C-Infrastruktur des Schädlings gesendet wird, sowie die YARA-Regel, die zur Detektion benutzt wird.

Die Nachrichten vom Angriff auf Sony erschienen einen Tag vor Thanksgiving, als das Unternehmen erklärte, dass die meisten seiner internen Systeme funktionsunfähig seien. Auf den Bildschirmen der Workstations wurde nunmehr die Mitteilung, „Hacked By #GOP“ angezeigt – eine Hacker-Gruppe, die sich „Guardians of Peace“ („Friedenswächter“) nennt. Die Mitteilung, die vor dem Hintergrund eines roten Totenschädels dargestellt wurde, informierte das Unternehmen darüber, dass die Gruppe „ über alle wichtigen Interna verfügt, Ihre Geheimisse und Top Secrets eingeschlossen“, und dass diese veröffentlicht würden, wenn das Unternehmen den Forderungen der Gruppe nicht nachkäme.

Quelle:        Threatpost.com

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.