Zerstörerische Malware – fünf Wiper-Schädlinge im Fokus

Tagtäglich verarbeitet Kaspersky Lab über 300.000 neue Malware-Samples. Bei der überragenden Mehrheit dieser schädlichen Dateien handelt es sich um das, was wir Crimeware nennen – Computerprogramme, die für den finanziellen Profit entwickelt wurden und von Cyberkriminellen eingesetzt werden, um Geld zu machen. Von den verbleibenden wird ein kleiner Teil eigens zur Cyberspionage entwickelt und von verschiedensten hochgerüsteten Angreifern verwendet.

Was bleibt, ist ein noch geringerer Teil vom Ganzen, der Raritäten und Seltsamkeiten einschließt. Wiper-Schädlinge – äußerst destruktive Programme also – gehören zu den seltensten Malware-Arten, doch innerhalb der letzten Jahre ist ihr Einsatz sprunghaft angestiegen.

In den guten alten Zeiten wurden die meisten Schadprogramme von Computer-Verrückten, Cyber-Hooligans und Scherzkeksen geschrieben. Daher waren zerstörerische Viren oder Trojaner sehr viel weiter verbreitet. Dazu gehörte auch Bad Sectors, ein Computervirus, der einen Datenblock als defekt markierte, obwohl er es gar nicht war, was zu schleichender Datenkorruption führte. Ein weiteres Beispiel war OneHalf, ein Computervirus, der die Festplatte Zylinder für Zylinder verschlüsselt, und sie dann on-the-fly sichtbar entschlüsselt, wenn er aktiv ist. Wird versucht, den Virus zu entfernen, verbleiben die Daten in verschlüsselter Form auf der Festplatte, ohne dass es eine einfache Art gäbe, sie zu dechiffrieren.

Das bekannteste Beispiel aber ist vermutlich CIH, auch bekannt als Chernobyl. CIH, benannt nach den Initialen seines Autors, Chen Ing-hau, war ein Computer-Virus, der in der Lage war, das BIOS zu überschreiben. Mit CHI infizierte Computer konnten nicht mehr hochgefahren werden. Für PCs, bei denen das BIOS auf einem austauschbaren Chip gespeichert war, der auf einem anderen System neu programmiert werden konnte, war das kein unlösbares Problem, doch für Laptop-Nutzer hatte der CHI-Virus überaus verheerende Auswirkungen.

Im Laufe der letzten Jahre wurden wir Zeuge so einiger Vorfälle, bei denen zerstörerische Malware eine Rolle spielte. Daher ist es nun an der Zeit für eine kurze Zusammenfassung der wichtigsten Wiper-Vorfälle:

1. The “Wiper”

Ende 2011, Anfang 2012 wurde über Computersysteme berichtet, die kompromittiert worden waren und daraufhin nicht mehr gebootet werden konnten. Der Schaden auf diesen Systemen war so groß, dass fast keine Daten mehr wiederhergestellt werden konnten. Einige der Artefakte von den betroffenen Systemen ließen auf eine mögliche Verbindung zu Stuxnet und Duqu schließen, was allerdings nie bewiesen werden konnte. Das für diese Angriffe verantwortliche Schadprogramm erhielt den Namen "Wiper", über das wir hier berichteten. Wiper setzte zwei Methoden ein, um Systeme anzugreifen. Dateien mit gewissen „heißen“ Erweiterungen wurden mit Müll gefüllt, so dass als Folge die gesamte Festplatte verstümmelt wurde. Während unbekannt ist, wie das möglich sein konnte, ohne die Betriebssysteme zum Absturz zu bringen, beinhalten einige Lösungen, die benutzt worden sein könnten, Gerätetreiber, die beim Booten geladen werden, oder einfach ein schädliches Bootkit.

Unsere Ermittlungen im Fall Wiper führten zu der Entdeckung von Flame, wobei wir heute der Ansicht sind, dass diese Schadprogramme nicht miteinander verwandt sind. Soweit wir wissen, ist und bleibt Wiper ein Mysterium.

2. Shamoon the Wiper

Im August 2012 wurde eine große Zahl von Computern (geschätzt mehr als 30.000) bei Saudi Aramco kompromittiert und konnte nicht mehr hochgefahren werden. Wir haben hier über diesen Vorfall berichtet.

In diesem Fall konnte die für die Attacken verantwortliche Malware identifiziert und wiederhergestellt werden. Shamoon verwendete eine simple und plumpe Vernichtungsmethode, die sich als äußerst effektiv erwies. Obgleich eine Hacker-Gruppe mit dem Namen “Cutting Sword of Justice” die Verantwortung für die Shamoon-Attacke auf sich nahm, blieben die Details im Dunkeln.

Nach dem Angriff auf Saudi Aramco wurde eine andere, ähnliche Attacke aufgedeckt, und zwar bei dem Unternehmen Rasgas in Katar.

In den Medien wurden Vermutungen laut, dass ungeachtet des oben erwähnten Bekenntnisses iranische Hacker hinter dieser Attacke stecken könnten. Doch ein in der Malware vergessenes Detail – “Shamoon for Arabian Gulf” – scheint dem zu widersprechen, da iranische Programmierer eher von dem “Persischen Golf” sprechen würden. (siehe Wikipedia)

3. Narilam

Über Narilam wurde erstmals im November 2012 von Symantec berichtet. Wir haben den Schädling hier beschrieben.

Narilam ist ein interessantes Schadprogramm – es richtet sich gegen Datenbanken für überaus spezielle Computersoftware, die in erster Linie im Iran verwendet wird. Die Datenkorruption, die es verursacht, ist schleichend und lässt sich nur schwer erkennen. Wird es Narilam ermöglicht, jahrelang auf einem Computersystem zu laufen, so könnte das verheerende Auswirkungen haben, da die Modifikationen nicht einfach identifiziert werden können. Im Gegensatz zu „the Wiper“ handelt es sich bei Narilam um ein langsam vorgehendes Schadprogramm, das für die Langzeitsabotage entwickelt wurde. Wir haben viele verschiedene Versionen von Narilam identifiziert, von denen einige bereits seit 2008 aktiv sind.

4. Groovemonitor / Maya

Unsere Beschreibung der Attacken durch Groovemonitor/Maya finden Sie hier.

Diese Malware wurde erstmals im Jahr 2012 von dem Iranian Maher CERT beschrieben. Relativ simpel gestrickt, geht der Schädling reichlich undifferenziert vor. Groovemonitor wird an bestimmten Daten ausgelöst, die in seinem Körper hartkodiert sind – vom 10. Dezember 2012 bis zum 4. Februar 2015. An solchen Daten löscht er schlicht und einfach alle Dateien auf den Festplattenabschnitten “d:” bis “i:”

5. Dark Seoul:

Über die Dark Seoul-Attacken haben wir hier berichtet.

Der Schädling Dark Seoul wurde – wie es sein Name bereits vermuten lässt – in koordinierten Angriffen auf verschiedene Banken und Medienunternehmen in Seoul, Südkorea, eingesetzt. Die Attacken wurden im Mai 2013 publik, obwohl die Gruppe hinter den Angriffen schon sehr viel länger aktiv ist, vermutlich bereits seit dem Jahr 2009.

Fazit

Wie sich aus der oben aufgeführten Aufstellung entnehmen lässt, wurden die meisten der Wiper-artigen Attacken während der letzten Jahre im Mittleren Osten durchgeführt. Doch wie diese Vorfälle deutlich machen, kann diese Art von Schadprogrammen einen höchst effizienten Cyberwaffen-Typ abgeben. Die Macht, zehntausende Computer mit einem Knopfdruck oder Mausklick lahm zu legen, ist ein wertvoller Aktivposten jeder Cyberarmee. Der Schlag könnte in Kombination mit einer Attacke in der realen Welt noch verheerender werden, wenn es darum geht, die Infrastruktur eines Landes zu lähmen.

Zusammenfassend lässt sich also feststellen, dass Wiper-artige Attacken heute recht selten sind, da der Fokus von Schadprogrammen auf dem finanziellen Profit liegt. Große Gefahr geht vielmehr davon aus, dass man Wiper-Attacken mit der Tatsache kombiniert, dass tagtäglich neue und immer mehr Schwachstellen in der kritischen Infrastruktur aufgedeckt werden.

Wir nehmen an, dass sich Wiper-Attacken fortsetzen und in naher Zukunft sogar zunehmen werden, mit dem Ziel, kritische Infrastruktur zu exakten Zeiten anzugreifen und größtmöglichen Schaden zu verursachen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.