Für die Infrastruktur wichtige Rechner in Indien und dem Iran wurden jetzt mit einer Schadsoftware infiziert, die eine Zero-Day-Schwachstelle in Microsoft Windows und in der Siemens-Software WinCC Scada auf Windows 7 Enterprise Edition ausnutzt. Das teilte Antiviren-Hersteller F-Secure mit.

Die Malware nutzt nach Angaben von F-Secure Verknüpfungen mit der Dateierweiterung .LNK in Windows aus, um ihren Code in das Betriebssystem einzuschleusen. Der Virus verbreitet sich typischerweise über USB-Laufwerke. Das Tückische ist, dass das Rootkit in dem Moment gestartet wird, in dem auf dem Bildschirm des Benutzers ein Icon erscheint.

Ziel von Angriffen sind Scada-Systeme (Supervisory Control and Data Acquisition) wie die betroffene Siemens-Software. Sie werden im Allgemeinen für Infrastruktur-Lösungen eingesetzt, zum Beispiel in Kraftwerken.

„Wir haben hier eine technisch fortgeschrittene, akute Bedrohung vor uns. Solche Software wird für Spionage verwendet und gegen Schlüsselsysteme eingesetzt“, sagt Sicherheitsberater Sean Sullivan von F-Secure. „Davon gab es in Indien schon viele Fälle.“ Nach seinen Angaben nutzt die jetzt entdeckte Schadsoftware Standard-Benutzernamen und -Passwörter in dem Siemens-Programm aus.

Für das Eindringen in das Betriebssystem benutzen die Hacker nach Ansicht der Sicherheitsexperten gültige, aber abgelaufene Zertifikate von Hardware-Hersteller Realtek. Mit ihnen gaukelt die Malware dem Betriebssystem vor, dass die installierten Treiber aus einer vertrauenswürdigen Quelle stammen. Sullivan sagt, dass die Angreifer auch Code von Realtek verwendet hätten.

Auch Antivirenhersteller Sophos erklärte gegenüber ZDNet, dass man von Infektionen in Indien, dem Iran und Indonesien wisse. Berater Graham Cluley von Sophos sagte, dass das Rootkit Vorsorgemaßnahmen wie die Deaktivierung der Autorun- und der Autoplay-Funktion in Windows umgehen könne. „Alles dreht sich um die Deaktivierung von Autorun. Allein das Ansehen des Icons aktiviert die Malware.“

Das in Indien und dem Iran aktive Rootkit war im Juni von der weißrussischen Sicherheitsfirma VirusBlokAda entdeckt worden. F-Secure veröffentlichte die Untersuchung in einem Blog.

Die Software werde eingeschleust, um Daten zu stehlen, sagte Sullivan. Einmal gestartet, fange sie an, so viele Informationen wie möglich aus den erreichbaren Datenbanken zu extrahieren. „Das ist entweder Industriespionage oder läuft im Auftrag eines anderen Staats.“

Siemens untersucht das Rootkit gemeinsam mit Sicherheitsexperten. „Das Siemens Computer Emergency Response Team weiß von dem Vorfall und prüft die Situation mit Dringlichkeit“, erklärte ein Siemens-Sprecher.

Microsoft hat ebenfalls ein Auge auf die Schadsoftware. In einer Stellungnahme heißt es: „Microsoft untersucht die neuen, öffentlich bekannt gewordenen Beobachtungen von einer Malware, die sich über USB-Geräte verbreitet. Wenn wir unsere Untersuchungen beendet haben, werden wir die nötigen Maßnahmen einleiten, um unsere Anwender und das Web zu schützen.“

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago