6 Mrz 2017
StoneDrill: Wir haben eine mächtige neue Shamoom-Wiper-Malware entdeckt– und diesmal wird es ernst.
Falls Sie ein treuer Leser meines Blogs hier sind, kennen Sie unsere GReAT–Team (Global Research and Analysis Team) – 40+ erstklassige Sicherheitsexperten, die über die ganze Welt verteilt und darauf spezialisiert sind, unsere Kunden vor den anspruchsvollsten Cyberbedrohungen zu beschützen. Die GReAT-Experten vergleichen ihre Arbeit gerne mit der Paläontologie: Sie durchsuchen das tiefgehende Netz nach „Knochen“ von „Cyber-Monstern“. Manche könnten dies für einen veralteten Ansatz halten: Was ist so besonders daran, die „Knochen“ von „Kreaturen“ aus der Vergangenheit zu analysieren, wenn es darum geht, die Netzwerke vor den aktuellen Monstern zu schützen? Na ja, hier ist eine neue Geschichte die zeigt, dass man manchmal die derzeit lebendigen Monster nicht findet, ohne die alten zu untersuchen…
Einige von Ihnen kennen die sogenannten Wiper – eine Art von Malware, die, sobald sie installiert wird, den PC angreift und komplett alle Daten auf diesem löscht, wodurch der Besitzer des Computers mit einem vollständig gesäuberten, kaum funktionsfähigen Stück Hardware zurückbleibt. Der berühmteste (und berüchtigtste) Wiper ist Shamoon – eine Malware, die 2012 im Mittleren Osten für Aufsehen sorgte, da sie Daten auf 30.000+ Knotenpunkten von einer der größten Ölfirmen der Welt, Saudi Aramco, zerstörte und auch einen anderen Energiegiganten, Rasgas, angriff. Stellen Sie sich das nur vor: 30.000+ Teile nicht funktionsfähiger Hardware der weltweit größten Ölfirma…
Seltsamerweise hörte man seit der zerstörerischen Kampagne gegen die saudische Firma 2012 wenig von Shamoon, bis die Malware im Jahre 2016 als Shamoon 2.0, mit verschiedenen neuen Attacken gegen den Mittleren Osten, wiederkehrte.
Seit Beginn der neuen Angriffe haben wir versucht, so viele Versionen wie möglich von dieser Malware zu finden (weil wir eben nicht wollen, dass EINER unserer Kunden JEMALS von einer Malware wie Shamoon angegriffen wird). Wir schafften es, verschiedenen Versionen zu finden– Hurra! Aber zusammen mit unserer Beute aus Shamoonern, ging uns unverhofft eine vollständig neue Art von Wiper Malware, die wir StoneDrill genannt haben, ins Netz.
Die Code-Basis von StoneDrill ist anders als die von Shamoon, daher gehen wir davon aus, dass es sich um eine komplett neue Malwarefamilie handelt; es verwendet außerdem fortschrittliche Techniken um zu vermeiden, entdeckt zu werden, die Shamoon nicht hat. Daher handelt es sich um einen neuen Mitspieler, das ist sicher. Und einer der ungewöhnlichsten und beunruhigtesten Aspekte dieser Malware ist, dass StoneDrill, anders als Shamoon, sich nicht darauf beschränkt, Ziele in Saudi-Arabien oder den Nachbarländern anzugreifen. Wir haben bisher nur zwei Angriffsziele dieser Malware gefunden, aber eines von beiden befindet sich in Europa.
Warum ist das beunruhigend? Weil es zeigt, dass bestimmte bösartige Akteure, die mit zerstörerischen Cyber-Tools bewaffnet sind, das Terrain in Regionen erkunden, die frühere Akteure dieser Art kaum interessiert haben.
Daher ist meine Empfehlung an Unternehmen in Europa, die für die Akteure, die hinter StoneDrill oder vielleicht sogar Shamoon stecken, interessant sein könnten: Bereiten Sie Ihre Verteidigung gegen diese Art von Bedrohung für Ihr Netzwerk äußerst gründlich vor. Es handelt sich nicht mehr um etwas, was ausschließlich Öl- und Gasfirmen im Mittleren Osten betrifft. Es scheint global zu werden.
Zurück zu Cyber-Paläontologie…
Ich habe vorher erwähnt, dass wir unerwartet StoneDrill entdeckten, als wir nach Beispielen von Shamoon suchten. Es war auf jeden Fall unerwartet, aber kein Zufall…
Um neue oder ähnliche Varianten bekannter Malware zu finden, verwenden unsere Experten (mit anderen Tools zusammen) YARA-Regeln. Diese bilden ein spezielles Tool, dass es uns ermöglicht, verschiedene Suchparameter festzulegen, und unsere Malware-Datenbank mithilfe dieser Regeln zu durchsuchen.
Aus menschlicher Sicht ist das Verfahren zur Suche nach Malware mit YARA-Regeln so, als ob man ein bestimmtes Gesicht in einer Menschenmenge sucht, ohne es zu kennen. Stellen Sie sich vor, dass Sie einen Brieffreund haben. Nach Jahren voller Briefen E-Mails zwischen Ihnen, beschließen Sie, sich zu treffen und zwar auf einem überfüllten Bahnhof. Aber da Sie beschlossen hatten, nie ein Foto an den Anderen zu schicken („Komm, wir schicken uns keine Fotos voneinander. Da ist lustiger/spannender!“), wissen Sie sich, wie Ihr Brieffreund aussieht. Das Einzige, was Sie wissen, sind ein paar Details wie sein Alter, seine Größe, sein Körperbau, seine Haarfarbe, Augenfarbe und vielleicht die Art der Kleidung, die er normalerweise trägt. Also treffen Sie vielleicht auf dem überfüllten Bahnhof jemanden, der alle körperlichen Aspekte Ihres Brieffreundes erfüllt, aber Sie werden nicht wissen, ob er es wirklich ist, bis Sie nicht mit ihm geredet haben. Das ist ungefähr das, was mit StoneDrill passiert ist.
Unsere Experten fanden einige einzigartige Parameter der neuesten Version von Shamoon. Basierend auf diesen Parametern schufen unsere Jungs einige YARA-Regeln, drückten auf die Suchtaste und analysierten danach den Fang. Anschließend fanden sie ein Beispiel, das den Parametern von Shamoo entsprach; nachdem man es näher betrachtete, war klar, dass die neu gefundene Malware nicht Shamoon war, sondern dass es sich um eine komplett neue Wiper-Malwarefamilie handelte.
Zurück zu unserem Beispiel mit den Brieffreunden: Das heißt, dass Sie jemand anderen identifiziert haben, dessen Parameter mit denen Ihres Brieffreundes übereinstimmen, der aber nicht Ihr Brieffreund ist. Vielleicht handelt es sich um einen Verwandten von Ihrem Brieffreund, wer weiß?
Warum erkläre ich das hier?
Na ja, erinnern Sie sich an die Metapher der Paläontologie am Anfang des Posts? Das meinte ich damit, dass es manchmal unmöglich ist, neue Monster zu fangen ohne alles über die alten zu wissen. Sehen Sie, es lohnt sich ).
Aber es gibt einen anderen Grund, warum ich darüber reden möchte, wie wir StoneDrill entdeckt haben.
Die Tatsache, dass wir StoneDrill identifiziert haben, als wir nach Shamoon suchten, bedeutet, dass beide in fast demselben „Stil“ aufgebaut und verwendet werden, auch wenn ihre Codes vollkommen unterschiedlich sind. Wenn ich „Stil“ sage, beziehe ich mich auf bestimmte Ansätze darüber, wie die Malware funktioniert, sich selbst sowohl vor Sicherheitssoftware als auch Experten versteckt usw. Dies ist nicht die Art an Ähnlichkeiten, die man z.B. zwischen zwei Brüdern findet, sondern die, die man zwischen zwei Schülern desselben Lehrers findet oder zwischen zwei Mitgliedern desselben Brieffreundeclubs, falls Sie es bevorzugen.
Anders ausgedrückt, die Ähnlichkeiten zwischen Shamoon und StoneDrill sind wahrscheinlich eher kein Zufall. Wurden Shamoon und StoneDrill von demselben/denselben Autoren geschrieben? Ist StoneDrill ein spezifisches Tool der Betreiber von Shamoon? Oder handelt es sich um zwei verschiedene Bestien von komplett anderen Akteuren, die vielleicht dieselbe Malware-Schreibschule besucht haben? Wir wissen es nicht. Alles ist möglich; währenddessen forschen wir weiter und werden unsere Entdeckungen auf der bevorstehenden SAS Konferenz vorstellen.
Warten Sie! Das ist nicht alles!…
Als unsere GReAT Jungs den Code von StoneDrill untersuchten, erlebten sie ein echtes Déjà-vu: Sie hatten einige Codelinien vorher schon einmal gesehen! Wo? In einer anderen Cyber-Spionageoperation mit dem Namen Newsbeef – über die wir letztes Jahr ein Post veröffentlicht haben. Es gibt also eine weitere Variabel in dieser Rechnung: Newsbeef. Ist StoneDrill ein Tool, das von den Betreibern von Newsbeef für Datenzerstörungszwecke eingesetzt wird? Wieder handelt es sich um eine unbeantwortete Frage.
Wenn wir Experten in Geopolitik oder Armsessel Philosophen wären, würden wir ein paar Ideen über diese Verbindungen abgeben. So wie es Pu der Bär einmal sagte: „Dieses summende Geräusch hat etwas zu bedeuten“.
Aber (glücklicherweise!) sind wir keine Experten in Geopolitik oder Armsessel Philosophen. Wir haben die schwere Aufgabe, die Welt vor allen Cyberbedrohungen zu beschützen, unabhängig von deren Herkunft oder Zweck. Der einzige Grund, weshalb ich die Verbindungen zwischen Shamoon, StoneDrill und Newsbeef hier erwähne ist, dass wir sie gefunden haben. Das ist aus meiner Sicht ein gutes Beispiel für die Brauchbarkeit von professioneller Bedrohungsintelligenz für Ihr Unternehmen oder Ihre Regierungsbehörde, damit man besser versteht, warum es hier geht. Das hilft Dinge zu verstehen. Wenn man diese Dinge versteht, kann man sich besser gegen die Risiken widmen, die sie zur Folge haben.
Um auf dem neuesten Stand zu sein, lesen sie die detaillierten Entdeckungen von unseren Experten bei Securelist nach und falls sie an zusätzlicher professioneller Bedrohungsintelligenz interessiert sind, zögern sie nicht, sich bei unserem APT Intelligence Reporting Service anzumelden.
Jetzt übergebe ich das Mikro an die Autoren der StoneDrill Entdeckung: Hier können Sie eine detaillierte technische Analyse finden.
PS:
Falls Sie Ihr Sicherheitsteam darauf vorbereiten möchten, Malware so tiefgehend und professionell wie das GReAT Expertenteam analysieren zu können, schicken sie es zu unseren Schulungssitzungen. Die erste findet auf der SAS-2017 Konferenz Anfang April statt; dieses Jahr halten wir diese in St. Maarten ab, da wir vor langer Zeit gelernt haben, dass die Karibik der perfekte Ort für Hardcore-Cybersicherheitsdiskussionen und -Schulungen ist. Buchen Sie alles hier – und packen Sie die Koffer (einschließlich Badekleidung)!
@KASPERSKY DECKT EINE MASSIVE #CYBERKRIEG-OPERATION AUF, DIE MINDESTENS DREI WIPER-STIL-MALWARES BEINHALTETTweet