Zerstörung und Sabotage. StoneDrill!

Die Experten für Cybersicherheit von Kaspersky Lab haben mit StoneDrill eine neue hochentwickelte Wiper-Malware lokalisiert. Das Programm ist wie der berüchtigte Shamoon-Wiper in der Lage, auf einem infizierten Computer zerstörerischen Schaden anzurichten.

StoneDrill Gefährdungen. Quelle: Kapersky Lab

Zudem verfügt StoneDrill über fortschrittliche Technologien, die eine Entdeckung extrem erschweren sowie über Spionage-Tools. Neben Zielen im Nahen Osten wurde bereits auch ein Zielobjekt in Europa entdeckt.

Stone Drill, gefährlicher Nachfolger von Shamoon Wiper

Im Jahr 2012 schaltete der Wiper Shamoon rund 35.000 Computer einer Öl- und Gasfirma aus dem Nahen Osten aus, eine verheerende Attacke, die zehn Prozent der weltweiten Ölversorgung potenziell gefährdete. Es handelte sich allerdings um einen Einzelvorfall, bei dem nichts über die Akteure bekannt wurde. Ende des Jahres 2016 tauchte dann mit Shamoon 2.0 eine weitaus umfangreichere schädliche Kampagne mit einer stark aktualisierten Version der Malware aus dem Jahr 2012 auf.

Bei der Untersuchung dieser Angriffe entdeckten die Experten von Kaspersky unerwartet die Malware StoneDrill, die Shamoon 2.0 sehr ähnlich, aber gleichzeitig anders und anspruchsvoller als Shamoon war.

Verbindungen zu anderen Wipern und Cyberspionageoperationen

Noch ist unbekannt, wie sich der Schädling ausbreitet. Gelangt das Schadprogramm auf ein Gerät injiziert es sich in den Speicher des vom Nutzer bevorzugten Browsers. Während dieses Prozesses nutzt die Malware zwei komplexe Anti-Emulation-Techniken, mit denen auf dem Gerät installierte Sicherheitslösungen überlistet werden sollen. Anschließend beginnt die Malware mit der Zerstörung und Sabotage.

Laut den Experten von Kaspersky Lab beinhaltet die Malware neben der Zerstörungsfunktion auch ein Backdoor-Programm, das scheinbar von denselben Code-Schreibern entwickelt wurde und für Cyberspionage eingesetzt werden kann. Die Cybersicherheitsexperten machten darüber hinaus vier Command-and-Control-Panels ausfindig, welche die Angreifer zur Durchführung von Cyberspionage mittels der StoneDrill-Backdoor gegen eine nicht bekannte Anzahl von Zielobjekten nutzen.

Interessant an der neuen Malware ist, dass scheinbar Verbindungen zu anderen Wipern sowie zu vorangegangenen Cyberspionageoperationen existieren. Als die Experten StoneDrill mithilfe von Yara-Regeln zur Identifizierung unbekannter Shamoon-Samples entdeckten, bemerkten sie, dass sie ein einzigartiges gefährliches Code-Teil entdeckten, das wohl unabhängig von Shamoon erstellt wurde. Auch wenn StoneDrill und Shamoon nicht exakt denselben Code teilen, scheinen Denkart der Autoren und Programmierstil ähnlich zu sein. Daher ließ sich StoneDrill auch mit den für Shamoon entwickelten Yara-Regeln ausfindig machen.

Wer steckt hinter den StoneDrill Attacken?

Auch wurden Ähnlichkeiten im Code mit älterer bekannter Malware festgestellt; allerdings in diesem Fall nicht zwischen Shamoon und StoneDrill, sondern mit einem zuvor bei der NewsBeef APT (alias Charming Kitten) entdeckten Code. Hierbei handelt es sich um eine weitere gefährliche Kampagne der vergangenen Jahre.

„Die Ähnlichkeiten und Vergleiche der drei bösartigen Operationen haben uns fasziniert. Ist StoneDrill ein weiterer Wiper der Shamoon-Akteure? Oder stecken hinter StoneDrill und Shamoon zwei verschiedene und nicht miteinander verbundene Gruppen, die gerade zufällig saudische Organisationen anvisierten? Oder handelt es sich um zwei verschiedene Gruppe, die untereinander ihre Ziele abgleichen?“, so Mohamad Amin Hasbini, Senior Security Researcher bei Kaspersky Lab.

„Letzteres ist wohl am wahrscheinlichsten: betrachtet man die Artefakte genauer, sieht man, dass bei Shamoon arabisch-jemenitische Sprachelemente auftauchen, während bei StoneDrill Persisch überwiegt. Geopolitische Experten würden wohl davon ausgehen, dass sowohl der Iran als auch der Jemen Akteure im Stellvertreterkonflikt zwischen dem Iran und Saudi-Arabien sind; und Saudi-Arabien das Land ist, in dem die meisten Opfer dieser Operation gefunden wurden. Aber natürlich lässt sich nicht ausschließen, dass hier auch unter falscher Flagge operiert werden könnte.“

Die Sicherheitslösungen der Spezialisten Kaspersky Lab entdecken und blockieren die Malware, die Shamoon, StoneDrill und NewsBeef zugerechnet werden kann.

Ein Gedanke zu „Zerstörung und Sabotage. StoneDrill!

  • 8. März 2017 um 14:57
    Permalink

    Spannend und beunruhigend zugleich! Da hilft nur ein aktueller Virenschutz und ein regelmäßiges Backup!

Kommentar verfassen