Categories: SicherheitVirus

Kaspersky: Shamoon ist das Werk talentierter Amateure

Kaspersky hat die Malware Shamoon analysiert, die 30.000 Festplatten im Netzwerk der Ölfirma Saudi Aramco angegriffen hatte. Den Spezialisten zufolge handelt es sich um einfach und schnell zusammengestrickten Code, den vermutlich „talentierte Amateure“ geschrieben hätten.

Von Shamoon genutztes Wikipedia-Bild

Bei Saudi Aramco konnte Kaspersky das Schlimmste verhindern, als es proaktiv Netzwerkverbindungen abschaltete. In seiner Auswertung wirft es den Autoren des Schadprogramms „dumme Fehler“ vor, etwa einen fehlerhaften Datumsabgleich und das Ersetzen von Kleinbuchstaben durch Großbuchstaben. „Statt einem korrekten Format-String verwendet der Malware-Autor ‚%S%S%d.%s‘ mit großem ‚S‘. Dadurch schlägt die Funktion sprintf fehl; es wird kein voller Path String erstellt. Das heißt wiederum, dass keine Datei abgelegt werden kann – und es also auch nicht zur Ausführung kommt. Aus diesem Grund kann Shamoon keine anderen Programme ausführen.“

Laut Kaspersky-Forscher Dmitry Tarakanov spielt der Code längst nicht in einer Liga mit Stuxnet und Flame. Um Dateien aus Festplatten zu ersetzen, verwendeten die Autoren ein Bild, das aus Wikipedia stammte. Da der Name US_flag_burning.jpg nicht geändert wurde, scheint es sich um einen bewussten Hinweis auf die Online-Enzyklopädie gehandelt zu haben. Die jüngste Shamoon-Version verwendet das Bild übrigens nicht mehr, sondern ersetzt Blöcke von 192 KByte Größe mit zufälligen Daten.

Die auch als W32.Disttrack bezeichnete Malware ändert zudem die Partitionen infizierter Maschinen. Sie überschreibt bevorzugt Dateien, die als Downloads, Dokumente, Bilder, Videos oder Desktops erkennbar sind. Tarakanov erwähnt noch einen verwirrenden Aspekt: Shamoon nutzt überflüssigerweise legitime, signierte Treiber der Eldos-Software RawDisk. Sie werden aber gar nicht benötigt, um Bilder zu überschreiben.

Aus all dem schließt Tarakanov, dass die Malware von Amateuren geschrieben wurde – „allerdings talentierten Amateuren, da es ihnen gelang, eine funktionierende, sich selbst replizierende zerstörerische Schadsoftware zu schreiben.“

Der Vorfall bei Aramco hatte am 15. August begonnen. Ein ähnlicher Angriff auf die Erdgasfirma RasGas aus Katar wird ebenfalls mit Shamoon in Verbindung gebracht, dies ist aber bis heute nicht bestätigt.

[mit Material von Charlie Osborne, ZDNet.com]

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

5 Stunden ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago