Categories: SicherheitVirus

StoneDrill: Kaspersky Lab entdeckt neues hochentwickeltes Zerstörungsprogramm

Kaspersky Lab hat mit StoneDrill eine hochentwickelte Wiper-Malware entdeckt, wie das Unternehmen jetzt auch in einem Blogeintrag mitgeteilt hat. Das Programm ist wie Shamoon-Wiper in der Lage, auf einem infizierten Computer hohen Schaden anzurichten. Zudem soll StoneDrill über fortschrittliche Technologien verfügen, die eine Entdeckung extrem erschweren sollen sowie über Spionage-Tools. Neben Zielen im Nahen Osten wurde den Experten zufolge auch ein Zielobjekt in Europa entdeckt.

Wiper Shamoon schaltete laut den Sicherheitsexperten 2012 rund 35.000 Computer einer Öl- und Gasfirma aus dem Nahen Osten aus. Der Angriff gefährdete potenziell zehn Prozent der weltweiten Ölversorgung. Es handelte sich Kaspersky Lab nach allerdings um einen Einzelvorfall, bei dem nichts über die Akteure bekannt wurde. Ende des Jahres 2016 tauchte allerdings mit Shamoon 2.0 eine weitaus umfangreichere schädliche Kampagne mit einer stark aktualisierten Version der Malware aus dem Jahr 2012 auf. Bei der Untersuchung dieser Angriffe entdeckten die Experten von Kaspersky Lab unerwartet eine Malware (StoneDrill), die Shamoon 2.0 sehr ähnlich, aber gleichzeitig anders und anspruchsvoller als Shamoon war.

Wie sich StoneDrill ausbreitet, ist noch nicht bekannt. Gelangt das Schadprogramm auf ein Gerät, injiziert es sich in den Speicher des vom Nutzer bevorzugten Browsers. Während dieses Prozesses nutzt die Malware zwei komplexe Anti-Emulation-Techniken, mit denen auf dem Gerät installierte Sicherheitslösungen überlistet werden sollen. Anschließend beginnt die Malware mit der Zerstörung und Sabotage.

Laut den Experten von Kaspersky Lab beinhaltet StoneDrill neben der Zerstörungsfunktion auch ein Backdoor-Programm, das scheinbar von denselben Code-Schreibern entwickelt wurde und für Cyberspionage eingesetzt werden kann. Die Cybersicherheitsexperten machten darüber hinaus vier Command-and-Control-Panels ausfindig, die die Angreifer zur Durchführung von Cyberspionage mittels der StoneDrill-Backdoor gegen eine nicht bekannte Anzahl von Zielobjekten nutzen.

Interessant an StoneDrill ist laut Kaspersky Lab, dass scheinbar Verbindungen zu anderen Wipern sowie zu vorangegangenen Cyberspionageoperationen existieren. Als deren Experten StoneDrill mithilfe von Yara-Regeln zur Identifizierung unbekannter Shamoon-Samples entdeckten, bemerkten sie, dass sie ein einzigartiges gefährliches Code-Teil entdeckten, das wohl unabhängig von Shamoon erstellt wurde. Auch wenn StoneDrill und Shamoon nicht exakt denselben Code teilen, scheinen Denkart der Autoren und Programmierstil ähnlich zu sein. Daher ließ sich StoneDrill auch mit den für Shamoon entwickelten Yara-Regeln ausfindig machen.

Auch wurden Ähnlichkeiten im Code mit älterer bekannter Malware festgestellt; allerdings in diesem Fall nicht zwischen Shamoon und StoneDrill, sondern mit einem zuvor bei der NewsBeef APT (alias Charming Kitten) entdeckten Code. Hierbei handelt es sich um eine weitere gefährliche Kampagne der vergangenen Jahre.

„Die Ähnlichkeiten und Vergleiche der drei bösartigen Operationen haben uns fasziniert. Ist StoneDrill ein weiterer Wiper der Shamoon-Akteure? Oder stecken hinter StoneDrill und Shamoon zwei verschiedene und nicht miteinander verbundene Gruppen, die gerade zufällig saudische Organisationen anvisierten? Oder handelt es sich um zwei verschiedene Gruppe, die untereinander ihre Ziele abgleichen?“, so Mohamad Amin Hasbini, Senior Security Researcher bei Kaspersky Lab. „Letzteres ist wohl am wahrscheinlichsten: betrachtet man die Artefakte genauer, sieht man, dass bei Shamoon arabisch-jemenitische Sprachelemente auftauchen, während bei StoneDrill Persisch überwiegt. Geopolitische Experten würden wohl davon ausgehen, dass sowohl der Iran als auch der Jemen Akteure im Stellvertreterkonflikt zwischen dem Iran und Saudi-Arabien sind; und Saudi-Arabien das Land ist, in dem die meisten Opfer dieser Operation gefunden wurden. Aber natürlich lässt sich nicht ausschließen, dass hier auch unter falscher Flagge operiert werden könnte.“

Die Lösungen von Kaspersky Lab sollen dem Hersteller zufolge die Malware, die Shamoon, StoneDrill und NewsBeef zugerechnet werden kann, entdecken und blockieren.

Kaspersky Lab rät Organisationen, um sich vor diesen Attacken zu schützen, eine Sicherheitsbewertung des Kontrollnetzwerks (Security Audit, Penetrationstest, Gap-Analyse) zur Identifizierung und Entfernung von Sicherheitslücken durchführen und externe Zulieferer sowie die Sicherheitsrichtlinien von Drittanbietern zu überprüfen, sollten diese direkten Zugriff auf das Steuerungsnetzwerk haben. Sie sollten externe Security Intelligence hinzuziehen, spricht externe Experten, die Organisationen dabei unterstützen, künftige Angriffe auf industrielle Infrastruktur eines Unternehmens vorherzusagen. Wichtig ist es außerdem die eigenen Angestellten zu schulen, besonders operativ und technische tätige Mitarbeiter sollten ihr Bewusstsein für aktuelle Bedrohungen und Angriffe schärfen. Eine geeignete Sicherheitsstrategie muss erhebliche Ressourcen für die Angriffserkennung und -reaktion aufbringen, um einen Angriff blockieren zu können, bevor er ein kritisches Objekt erreicht. Unternehmen sollten erweiterte Schutzmethoden in Betracht ziehen, dazu gehören regelmäßige Integritätsprüfungen und eine spezialisierte Netzwerküberwachung.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago