Das Anti-Malware-Team von Palo Alto Networks, Unit 42, hat eine schwerwiegende Angriffswelle der Shamoon-Kampagne entdeckt. Diese Wiper-Angriffe sind so konfiguriert, dass zu konkreten Terminen Systeme und Daten zerstört werden. Beim jüngsten Angriff wurde zudem eine der primären Gegenmaßnahmen, die gegen Wiper-Angriffe eingesetzt wurden, erfolgreich unterlaufen: Virtual-Desktop-Interface-Snapshots. Im November 2016 hatte Palo Alto Networks bereits gefährliche Wiper-Angriffe im Zusammenhang mit der ursprünglichen Shamoon-Kampagne aus 2012 beobachtet. Die neuen Ausführungen der Attacken, die Sicherheitsvorkehrungen austricksen, machen diesen Cyberangriff zu einer potenziell ernsthaften Bedrohung für Unternehmen weltweit.
Die Akteure setzten die Disttrack-Nutzlast ein, um auf Systeme im lokalen Netzwerk zuzugreifen. Besonders auffällig war an diesem Sample, dass legitime Anmeldeinformationen verwendet wurden. Diese umfassten mehrere Benutzernamen und Passwörter aus der offiziellen Huawei-Dokumentation für Virtual-Desktop-Infrastruktur- (VDI-)Lösungen, wie „FusionCloud“. Diese legitimen Anmeldeinformationen waren spezifisch für das Angriffsziel und so komplex, dass die Bedrohungsakteure einen vorherigen Angriff durchgeführt haben müssen, um an die Anmeldeinformationen zu kommen. Die gefundenen hartcodierten Anmeldeinformationen deuten darauf hin, dass die Angreifer Zugang zu Appliances haben mussten, auf denen die Infrastruktur gehostet wird. Der Disttrack-Wiper wurde so eingestellt, um mit dem Überschreiben der Systeme an einem konkreten Datum zu beginnen. Dies passt mit der Taktik der Shamoon-Akteure zusammen. So sollte die Auswirkung maximiert werden, indem der Angriff zu einem Zeitpunkt erfolgt, zu dem das Unternehmen weniger Personal und Ressourcen vor Ort im Einsatz haben würde, um einzugreifen.
VDI-Lösungen können einen gewissen Schutz gegen eine destruktive Malware wie Disttrack bieten, durch die Fähigkeit, Snapshots von „gewipeten“ Systemen zu laden. Die Tatsache, dass die Shamoon-Angreifer Benutzernamen und Passwörter hatten, könnte darauf hindeuten, dass sie beabsichtigten, uneingeschränkten Zugang zu diesen Technologien bei ihrem Angriffsziel zu erhalten, um die Auswirkungen ihres zerstörerischen Angriffs zu erhöhen. Wenn dies der Fall ist, wäre dies eine neue Qualität der Bedrohung. Unternehmen sollten daher zusätzliche Sicherheitsmaßnahmen zum Schutz der Anmeldeinformationen für ihre VDI-Bereitstellung in Erwägung ziehen.
Zu diesem Zeitpunkt haben die Forscher von Palo Alto Networks keine Einzelheiten über die Kompromittierung, die dem Shamoon-Angriff vorausgegangen sein muss, um Anmeldeinformationen zu erhalten. Ebenso gibt es noch keine Details über die Methode, die verwendet wurde, um die neue, zwar ähnliche, aber im Vergleich zum ersten Angriff unterschiedliche Disttrack-Nutzlast in diesem Angriff auszuliefern. Ähnlich wie bei den anfänglichen Angriffen, deutet das Fehlen eines operativen C2-Servers darauf hin, dass die einzige Absicht der Bedrohungsakteure, diesen „Shamoon 2“-Angriff auszuführen, darin besteht, Daten und Systeme zu zerstören. (Palo Alto)
