Kaspersky hat die Malware Shamoon analysiert, die 30.000 Festplatten im Netzwerk der Ölfirma Saudi Aramco angegriffen hatte. Den Spezialisten zufolge handelt es sich um einfach und schnell zusammengestrickten Code, den vermutlich „talentierte Amateure“ geschrieben hätten.
Bei Saudi Aramco konnte Kaspersky das Schlimmste verhindern, als es proaktiv Netzwerkverbindungen abschaltete. In seiner Auswertung wirft es den Autoren des Schadprogramms „dumme Fehler“ vor, etwa einen fehlerhaften Datumsabgleich und das Ersetzen von Kleinbuchstaben durch Großbuchstaben. „Statt einem korrekten Format-String verwendet der Malware-Autor ‚%S%S%d.%s‘ mit großem ‚S‘. Dadurch schlägt die Funktion sprintf fehl; es wird kein voller Path String erstellt. Das heißt wiederum, dass keine Datei abgelegt werden kann – und es also auch nicht zur Ausführung kommt. Aus diesem Grund kann Shamoon keine anderen Programme ausführen.“
Laut Kaspersky-Forscher Dmitry Tarakanov spielt der Code längst nicht in einer Liga mit Stuxnet und Flame. Um Dateien aus Festplatten zu ersetzen, verwendeten die Autoren ein Bild, das aus Wikipedia stammte. Da der Name US_flag_burning.jpg nicht geändert wurde, scheint es sich um einen bewussten Hinweis auf die Online-Enzyklopädie gehandelt zu haben. Die jüngste Shamoon-Version verwendet das Bild übrigens nicht mehr, sondern ersetzt Blöcke von 192 KByte Größe mit zufälligen Daten.
Die auch als W32.Disttrack bezeichnete Malware ändert zudem die Partitionen infizierter Maschinen. Sie überschreibt bevorzugt Dateien, die als Downloads, Dokumente, Bilder, Videos oder Desktops erkennbar sind. Tarakanov erwähnt noch einen verwirrenden Aspekt: Shamoon nutzt überflüssigerweise legitime, signierte Treiber der Eldos-Software RawDisk. Sie werden aber gar nicht benötigt, um Bilder zu überschreiben.
Aus all dem schließt Tarakanov, dass die Malware von Amateuren geschrieben wurde – „allerdings talentierten Amateuren, da es ihnen gelang, eine funktionierende, sich selbst replizierende zerstörerische Schadsoftware zu schreiben.“
Der Vorfall bei Aramco hatte am 15. August begonnen. Ein ähnlicher Angriff auf die Erdgasfirma RasGas aus Katar wird ebenfalls mit Shamoon in Verbindung gebracht, dies ist aber bis heute nicht bestätigt.
[mit Material von Charlie Osborne, ZDNet.com]
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…