Shamoon 2 Malware

Ernsthafte Bedrohung für VDI-Infrastrukturen

| Redakteur: Peter Schmitz

Palo Alto Networks hat eine zweite, gefährliche Welle von „Shamoon 2“-Angriffen entdeckt. Der Angriff überschreibt Daten und macht Systeme unbenutzbar.
Palo Alto Networks hat eine zweite, gefährliche Welle von „Shamoon 2“-Angriffen entdeckt. Der Angriff überschreibt Daten und macht Systeme unbenutzbar. (Bild: Palo Alto Networks)

Das Anti-Malware Team von Palo Alto Networks, Unit 42, hat eine schwerwiegende Angriffswelle der Shamoon-Kampagne entdeckt. Diese so genannten Wiper-Angriffe sind derart konfiguriert, dass zu konkreten Terminen Systeme und Daten zerstört werden. Beim jüngsten Angriff wurde zudem eine der primären Gegenmaßnahmen, die gegen Wiper-Angriffe eingesetzt wurden, erfolgreich unterlaufen: Virtual Desktop Interface Snapshots.

Im November 2016 hatte Palo Alto Networks bereits gefährliche Wiper-Angriffe im Zusammenhang mit der ursprünglichen „Shamoon“-Kampagne aus 2012 beobachtet. Die neuen Ausführungen der Attacken, die Sicherheitsvorkehrungen austricksen, machen diesen Cyber-Angriff zu einer potenziell ernsthaften Bedrohung für Unternehmen weltweit.

So verlief der Angriff

Die Akteure setzten die Disttrack-Nutzlast ein, um auf Systeme im lokalen Netzwerk zuzugreifen. Besonders auffällig war an diesem Sample, dass legitime Anmeldeinformationen verwendet wurden. Diese umfassten mehrere Benutzernamen und Passwörter aus der offiziellen Huawei-Dokumentation für Virtual-Desktop-Infrastruktur (VDI)-Lösungen, wie „Fusion Cloud“.

Diese legitimen Anmelde-Informationen waren spezifisch für das Angriffsziel und so komplex, dass die Bedrohungsakteure einen vorherigen Angriff durchgeführt haben müssen, um an die Anmeldeinformationen zu kommen. Die gefundenen hart codierten Anmeldeinformationen deuten darauf hin, dass die Angreifer Zugang zu Appliances haben mussten, auf denen die Infrastruktur gehostet wird.

Der Disttrack Wiper wurde so eingestellt, um mit dem Überschreiben der Systeme an einem konkreten Datum zu beginnen. Dies passt mit der Taktik der Shamoon-Akteure zusammen. So sollte die Auswirkung maximiert werden, indem der Angriff zu einem Zeitpunkt erfolgt, zu dem das Unternehmen weniger Personal und Ressourcen vor Ort im Einsatz haben würde, um einzugreifen.

Bisher unbekannte Qualität

VDI-Lösungen können einen begrenzten Schutz gegen eine destruktive Malware wie Disttrack bieten, durch die Fähigkeit, Snapshots von „gewipeten“ Systemen zu laden. Die Tatsache, dass die Shamoon-Angreifer Benutzernamen und Passwörter hatten, könnte darauf hindeuten, dass sie beabsichtigten, uneingeschränkten Zugang zu diesen Technologien bei ihrem Angriffsziel zu erhalten, um die Auswirkungen ihres zerstörerischen Angriffs zu erhöhen.

Wenn dies der Fall ist, wäre dies eine neue Qualität der Bedrohung. Unternehmen sollten daher zusätzliche Sicherheitsmaßnahmen zum Schutz der Anmeldeinformationen für ihre VDI-Bereitstellung in Erwägung ziehen.

Zu diesem Zeitpunkt haben die Forscher von Palo Alto Networks keine Einzelheiten über die Kompromittierung, die dem Shamoon-Angriff vorausgegangen sein muss, um Anmeldeinformationen zu erhalten. Ebenso gibt es noch keine Details über die Methode, die verwendet wurde, um die neue, zwar ähnliche, aber im Vergleich zum ersten Angriff unterschiedliche Disttrack-Nutzlast in diesem Angriff zu auszuliefern.

Ähnlich wie bei den anfänglichen Angriffen, deutet das Fehlen eines operativen C2-Servers darauf hin, dass die einzige Absicht der Bedrohungsakteure, diesen „Shamoon 2“-Angriff auszuführen, darin besteht, Daten und Systeme zu zerstören.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44466302 / Software)