Rootkit greift Systeme in Indien und Iran an

Für die Infrastruktur wichtige Rechner in Indien und dem Iran wurden jetzt mit einer Schadsoftware infiziert, die eine Zero-Day-Schwachstelle in Microsoft Windows und in der Siemens-Software WinCC Scada auf Windows 7 Enterprise Edition ausnutzt. Das teilte Antiviren-Hersteller F-Secure mit.

Die Malware nutzt nach Angaben von F-Secure Verknüpfungen mit der Dateierweiterung .LNK in Windows aus, um ihren Code in das Betriebssystem einzuschleusen. Der Virus verbreitet sich typischerweise über USB-Laufwerke. Das Tückische ist, dass das Rootkit in dem Moment gestartet wird, in dem auf dem Bildschirm des Benutzers ein Icon erscheint.

Ziel von Angriffen sind Scada-Systeme (Supervisory Control and Data Acquisition) wie die betroffene Siemens-Software. Sie werden im Allgemeinen für Infrastruktur-Lösungen eingesetzt, zum Beispiel in Kraftwerken.

„Wir haben hier eine technisch fortgeschrittene, akute Bedrohung vor uns. Solche Software wird für Spionage verwendet und gegen Schlüsselsysteme eingesetzt“, sagt Sicherheitsberater Sean Sullivan von F-Secure. „Davon gab es in Indien schon viele Fälle.“ Nach seinen Angaben nutzt die jetzt entdeckte Schadsoftware Standard-Benutzernamen und -Passwörter in dem Siemens-Programm aus.

Für das Eindringen in das Betriebssystem benutzen die Hacker nach Ansicht der Sicherheitsexperten gültige, aber abgelaufene Zertifikate von Hardware-Hersteller Realtek. Mit ihnen gaukelt die Malware dem Betriebssystem vor, dass die installierten Treiber aus einer vertrauenswürdigen Quelle stammen. Sullivan sagt, dass die Angreifer auch Code von Realtek verwendet hätten.

Auch Antivirenhersteller Sophos erklärte gegenüber ZDNet, dass man von Infektionen in Indien, dem Iran und Indonesien wisse. Berater Graham Cluley von Sophos sagte, dass das Rootkit Vorsorgemaßnahmen wie die Deaktivierung der Autorun- und der Autoplay-Funktion in Windows umgehen könne. „Alles dreht sich um die Deaktivierung von Autorun. Allein das Ansehen des Icons aktiviert die Malware.“

Das in Indien und dem Iran aktive Rootkit war im Juni von der weißrussischen Sicherheitsfirma VirusBlokAda entdeckt worden. F-Secure veröffentlichte die Untersuchung in einem Blog.

Die Software werde eingeschleust, um Daten zu stehlen, sagte Sullivan. Einmal gestartet, fange sie an, so viele Informationen wie möglich aus den erreichbaren Datenbanken zu extrahieren. „Das ist entweder Industriespionage oder läuft im Auftrag eines anderen Staats.“

Siemens untersucht das Rootkit gemeinsam mit Sicherheitsexperten. „Das Siemens Computer Emergency Response Team weiß von dem Vorfall und prüft die Situation mit Dringlichkeit“, erklärte ein Siemens-Sprecher.

Microsoft hat ebenfalls ein Auge auf die Schadsoftware. In einer Stellungnahme heißt es: „Microsoft untersucht die neuen, öffentlich bekannt gewordenen Beobachtungen von einer Malware, die sich über USB-Geräte verbreitet. Wenn wir unsere Untersuchungen beendet haben, werden wir die nötigen Maßnahmen einleiten, um unsere Anwender und das Web zu schützen.“