Kaspersky veröffentlicht Details zum Industrie-Zerstörungsvirus Wiper

Manfred Kohlen,
SicherheitSicherheitsmanagementVirus

Dass ein schlimmer Schädling in Umlauf war, der vor allem die Öl-Industrie im Nahen und Mittleren Osten angriff, war bereits einige Zeit bekannt. Wie perfide er arbeitete bei seiner Zerstörungswut, fanden die Kaspersky-Mitarbeiter nach ausgiebiger forensischer Analyse der betroffenen Systeme heraus – aber nur teilweise, weil noch kein Schädling sich so gut verstecken konnte.

Wiper habe offensichtlich eine hocheffiziente Methode zur Zerstörung von Daten betroffener Systeme. Obwohl die ursprünglichen Untersuchungen unerwartet zur Entdeckung des Schädlings Flame geführt hatten, konnte Wiper selbst nach wie vor nicht gefunden werden, denn er zerstört sich schnell selbst – effektiver als dies etwa Flame bewerkstelligte.

Kaspersky Lab vermutet aber, dass Wiper in der Zwischenzeit andere Cyberkriminelle zur Nachahmung inspiriert haben könnte, was etwa das Auftreten von Shamoon im August erklären würde.

Alexander Gostev, Chief Security Expert von Kaspersky Lab erklärt dazu langatmig in einer Pressemeldung: “Auf Basis der vorgefundenen Spuren auf den zur Analyse eingereichten Festplatten besteht kein Zweifel daran, dass Wiper existiert und für Angriffe auf Computer im Westasien im April 2012 verwendet wurde. Vermutlich aber begannen die Angriffe sogar schon im Dezember 2011. Zwar haben wir Flame über die Nachforschungen zu Wiper entdeckt. Wir nehmen jedoch an, dass Wiper sich von Flame unterscheidet und einen anderen Malwaretyp darstellt. Das destruktive Verhalten von Wiper und zurückgelassene Dateinamen erinnern an die Tilded-Plattform. Die modulare Architektur von Flame hingegen war komplett anders und auf eine nachhaltige Kampagne zur Cyberspionage ausgerichtet. Bei Flame fanden wir auch keine Hinweise auf ein solch destruktives Verhalten, wie es Wiper an den Tag legt.”

Mit diesem Löschmuster hat Wiper sein Unwesen getrieben. Im Kaspersky-Blog wird detailliert beschrieben, wie der Schädling in Sekundenschnelle ganze Festplattensektoren zerstörte (Bild: Kaspersky)

Die Angriffe von Wiper auf Computersysteme innerhalb der Ölindustrie Westasiens fanden vom 21. bis 30. April 2012 statt, die Analyse der von Wiper zerstörten Festplatten brachte eine bestimmte Löschroutine und den Namen einer Komponente zutage, der mit “~D” beginnt. Auch Duqu und Stuxnet kennzeichneten Komponenten mit ~D.

Duqu und Stuxnet wurden auf einer gemeinsamen Plattform erstellt, die analog zur Bezeichnung der Dateien “Tilded” genannt wird. Doch trotz der Tatsache, dass Flame im Verlauf der Suche nach Wiper entdeckt wurde, nehmen die Kaspersky-Experten an, dass Flame und Wiper zwei verschiedene und voneinander getrennte Schädlinge sind.

Die Löschroutine von Wiper sei sehr effektiv, denn sie verstümmle in Sekundenschnelle so viele Dateien wie möglich auf einer Festplatte  bei drei von vier angegriffenen Computern seien die Daten komplett gelöscht worden, und auch die Malware selbst wurde gründlich entfernt. Daher gebe es auch keine analysierbaren weiteren Vorfälle – mit einem Schlag habe der digitale Wüstling aufgehört und sei nicht mehr aufgetaucht.

Mehr Einzelheiten veröffentlicht Kaspersky in seinem Blog: Über die unendlich effiziente Festplattenlösch-Routine ist das Kaspersky-Team ganz außer sich: “Die Malware ist so gut geschrieben, dass sie, einmal aktiviert, keinerlei Daten überleben ließ.” Es sei also durhaus möglich, dass man niemals herausfinden werde, was wirklich dahinterstecke. Aber immerhin habe man bei der Wiper-Suche den Schädling Flame entdeckt und einige Gemeinsamkeiten mit Duqu und Stuxnet gefunden.

 

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen