Internet Security / Analysen

Kaspersky Security Bulletin 2012. Cyberwaffen

• Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2012
• Kaspersky Security Bulletin: Statistik für das Jahr 2012
• Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
• Weltkarte
• Duqu
• Wiper
• Flame
• Gauss
• miniFlame
• Und nun?

Bis zum Jahr 2012 gab es insgesamt zwei Vorfälle mit Cyberwaffen, und zwar unter Beteiligung von Stuxnet und Duqu. Die Analyse dieser Schädlinge führte allerdings dazu, dass sich innerhalb der IT-Community die theoretische Vorstellung von dem Begriff „Cyberkrieg“ deutlich erweiterte.

Im Jahr 2012 hat sich nicht nur die Anzahl der Vorfälle mit Cyberwaffen um ein Vielfaches erhöht. Die Ereignisse haben auch gezeigt, dass weltweit viele Länder schon seit Langem Cyberwaffen entwickeln. Was früher noch geheime Verschlusssache war, wurde im Jahr 2012 rege in den Massenmedien ausgebreitet.

Mehr noch – der Cyberkrieg entwickelte sich zu einem der wichtigsten Themen des Jahres, da er von verschiedenen Staaten öffentlich diskutiert wurde. Daher kann man mit Fug und Recht behaupten, dass das Jahr 2012 diesbezüglich einen Wendepunkt markierte, und zwar nicht nur, was die Zahl der Vorfälle betrifft, sondern auch hinsichtlich der allgemeinen Sichtweise auf die Entwicklung von Cyberwaffen.

Weltkarte

Im Jahr 2012 ist die Zone, in der Cyberwaffen eingesetzt werden, wesentlich größer geworden: Während sie sich früher nur auf den Iran beschränkte, so umfasst sie heute die ganze dazugehörige Region Westasiens. Diese Entwicklung ist ein genaues Abbild der politischen Prozesse in Westasien, das schon lange als Brennpunkt gilt.

Zu der ohnehin nicht einfachen Lage in der Region, die sich auf Grund des iranischen Kernwaffenprogramms ergeben hatte, kamen im Jahr 2012 die politischen Krisen in Syrien und Ägypten hinzu. Der Libanon, die palästinensischen Autonomiegebiete und die Unruhen in einer Reihe von Ländern im Persischen Golf vervollständigen das Gesamtbild der Instabilität.

Unter diesen Bedingungen ist es nur logisch, dass andere Staaten der Welt, die Interessen in dieser Region verfolgen, bestrebt sind, alle ihnen zur Verfügung stehenden Mittel einzusetzen – sei es, um ihre Interessen zu schützen oder um Informationen zu sammeln.

All das führte zu einigen ernstzunehmenden Vorfällen in dieser Region, die – wie die Untersuchungen gezeigt haben – durchaus als Einsatz von Cyberwaffen klassifiziert werden können.

Duqu

Das schädliche Spionage-Programm, das im September 2011 entdeckt und über das im Oktober erstmals berichtet wurde, hat Kaspersky Lab genau analysiert. Im Laufe der Untersuchungen gelang es uns, Zugriff auf einige Server zu erhalten, die von Duqu genutzt werden, und eine bedeutende Menge von Informationen über die Architektur des Programms und über seine Geschichte zu sammeln. So konnte definitiv bewiesen werden, dass es sich bei Duqu um eine Weiterentwicklung der Plattform Tilded handelt, auf der auch Stuxnet basiert, ein anderer bekannter Wurm. Zudem stellten wir fest, dass mindestens noch drei weitere Programme existieren, die sich das Fundament mit Duqu/Stuxnet teilen und die bis heute noch nicht entdeckt wurden.

Die Aufmerksamkeit und Aktivität der Antiviren-Ermittler führte dazu, dass die Betreiber von Duqu versuchten, alle Spuren ihrer Arbeit von den Steuerungsservern sowie von den infizierten Systemen zu beseitigen.

Nach Stand zum Jahresende 2011 hörte Duqu auf, „in freier Wildbahn“ zu existieren, allerdings entdeckten die Experten von Symantec Ende Februar 2012 im Iran eine neue Variante eines Treibers, der baugleich zu dem in Duqu verwendeten Treiber ist, doch schon am 23. Februar 2012 erstellt worden war.

Das Hauptmodul selbst wurde nicht gefunden, und auch danach wurden bis zum gegenwärtigen Zeitpunkt keine neuen Duqu-Modifikationen mehr entdeckt.

Wiper

Der „mystische“ Trojaner versetzte den Iran Ende April 2012 in Unruhe: Aus dem Nichts kommend zerstörte er eine Vielzahl von Datenbanken in Dutzenden von Organisationen. Stark betroffen von dem Angriff war das größte iranische Erdölterminal, das die Arbeit für einige Tage einstellen musste, da Daten über Ölverträge zerstört wurden.

Allerdings wurde nicht ein Sample des Schädlings gefunden, der bei diesen Angriffen zum Einsatz kam, was viele an der Genauigkeit der in den Massenmedien verbreiteten Informationen zweifeln ließ.

Im Zusammenhang mit diesen Vorfällen wandte sich die Internationale Fernmeldeunion (ITU) an Kaspersky Lab mit der Bitte, Ermittlungen durchzuführen und die potenziell zerstörerischen Folgen der Aktivität dieser neuen Malware zu beschreiben.

Die Entwickler von Wiper hatten alles nur Mögliche getan, um absolut alle Daten zu zerstören, die für die Analyse der Vorfälle von Nutzen hätten sein können. Daher blieb in allen Fällen, die wir analysierten, nach der Aktivierung von Wiper kaum eine Spur von dem Schadprogramm zurück.

Im Zuge der Untersuchung des geheimen Angriffs vom April analysierten wir Samples auf einigen Festplatten, die von Wiper angegriffen worden waren. Wir können mit Sicherheit sagen, dass die Vorfälle tatsächlich stattgefunden haben und dass das Schadprogramm, das bei diesen Attacken zum Einsatz kam, im April 2012 existierte. Außerdem wissen wir von einigen sehr ähnlichen Vorfällen, die sich im Dezember 2011 ereigneten.

Im Wesentlichen fanden die Angriffe im letzten Drittel des Monats statt (in der Zeit vom 21. bis 30.), allerdings können wir nicht bestätigen, dass der Grund dafür in einer speziellen Funktion liegt, die bei Eintritt eines bestimmten Datums aktiviert wurde.

Auch einige Wochen nach Beginn der Ermittlungen war es uns nicht gelungen, Dateien der Malware zu finden, deren Merkmale mit den bekannten Charakteristika von Wiper übereinstimmen. Allerdings deckten wir eine auf Regierungsebene durchgeführte Spionagekampagne auf, die heute als Flame bekannt ist, sowie etwas später ein weiteres Cyberspionage-System, das auf den Namen Gauss getauft wurde.

Flame

Flame ist ein überaus raffiniertes Werkzeug zur Durchführung von Attacken, das Duqu an Komplexität weit übertrifft. Dieses trojanische Programm ist ein Backdoor, der ebenfalls über Merkmale von Würmern verfügt, die es ihm ermöglichen, sich im lokalen Netz und über Wechselmedien auszubreiten, wenn er einen entsprechenden Befehl erhält.

Nach der Infizierung des Systems beginnt Flame mit der Ausführung einer Reihe komplizierter Operationen und analysiert unter anderem den Netztraffic, erstellt Screenshots, schneidet Gespräche in Audio-Dateien mit, fängt Tastatureingaben ab und so weiter. Alle diese Daten werden dem Betreiber über die Steuerungsserver von Flame zugänglich gemacht.

Anschließend können bei Bedarf weitere Module auf die infizierten Computer geladen werden, die die Funktionalität von Flame erweitern. Insgesamt wurden etwa 20 Module gefunden.

Flame enthielt eine einzigartige Funktion zur Verbreitung im lokalen Netz, wobei die Windows-Update-Anfragen abgefangen und gegen die eigenen Module ausgetauscht wurden, die mit einem Zertifikat von Microsoft signiert waren. Die Untersuchung dieses Zertifikats brachte die Verwendung einer einzigartigen Kryptoattacke zutage, die es den Cyberkriminellen ermöglichte, ein eigenes gefälschtes Zertifikat zu generieren, das vollständig mit dem legalen übereinstimmt.

Die von uns gesammelten Daten zeugen davon, dass die Entwicklung von Flame ungefähr im Jahr 2008 begann und bis zum Zeitpunkt der Entdeckung im Mai 2012 anhielt.

Zudem konnten wir feststellen, dass eines der Module auf der Plattform Flame bereits im Jahr 2009 als Modul zur Verbreitung des Wurms Stuxnet verwendet wurde. Diese Tatsache zeigt, dass es eine enge Zusammenarbeit zwischen den zwei Gruppen der Entwickler von Flame und Tilded gegeben haben muss – bis hin zum Austausch der Quellcodes.

Gauss

Nach der Entdeckung von Flame setzten wir verschiedene heuristische Methoden ein, die auf eine Ähnlichkeitsanalyse von Code ausgerichtet sind, was uns recht bald den ersten Erfolg bescherte. Mitte Juni wurde ein weiteres Schadprogramm entdeckt, das auf der Plattform Flame basierte, sich allerdings in der Funktionalität und dem Ausbreitungsradius unterschied.

Gauss ist eine komplizierte Tool-Sammlung zur Durchführung von Cyberspionage, der von derselben Gruppe umgesetzt wurde, die auch für die Entwicklung der schädlichen Plattform Flame verantwortlich ist. Gauss verfügt über eine Modulstruktur und unterstützt den entfernten Start zusätzlicher Module. Die zum jetzigen Zeitpunkt bekannten Module erfüllen die folgenden Funktionen:

• Abfangen von Cookie-Dateien und Passwörtern im Browser
• Sammeln von Daten über die Systemkonfiguration und deren Versand an die Online-Verbrecher
• Infektion von USB-Sticks durch das Modul, das für den Diebstahl von Daten verantwortlich ist
• Erstellung von Listen der Inhalte von Systemspeichern und -Ordnern
• Diebstahl von Registrierungsdaten für verschiedene Online-Banking-Systeme im Nahen Osten
• Abfangen von Anmeldedaten für soziale Netzwerke, E-Mail-Accounts und Instant Messaging-Systeme.

Die Module sind intern nach berühmten Mathematikern und Philosophen benannt, wie Kurt Gödel, Johann Carl Friedrich Gauß und Joseph Louis Lagrange. Ausgehend von unseren Analyseergebnissen und den vorübergehenden Merkmalen der uns zur Verfügung stehenden schädlichen Module kamen wir zu dem Schluss, dass Gauss im August oder September seine destruktive Arbeit aufnahm.

Beginnend mit Ende Mai 2012 registrierte der Cloud-Schutzservice von Kaspersky Lab über 2500 Gauss-Infektionen, wobei die reale Gesamtzahl der Opfer dieses Schädlings nach unseren Schätzungen in die Zehntausende geht. Die absolute Mehrheit der Gauss-Opfer lebt im Libanon. Doch auch Israelis und Palästinenser waren von Angriffen des Schädlings betroffen. Zudem wurden geringe Opferzahlen in den USA, den Vereinigten Arabischen Emiraten, in Katar, Jordanien, Deutschland und Ägypten registriert.

miniFlame

Anfang Juli 2012 entdeckten wir ein kleines, aber interessantes Flame-Modul. Dieses Schadprogramm, das wir miniFlame nennen, ist seinem Umfang nach ein kleines, voll funktionsfähiges Spionage-Modul, das auf den Diebstahl von Informationen und den direkten Zugriff auf das infizierte System ausgerichtet ist. Im Gegensatz zu Flame und Gauss, die für groß angelegte Spionageoperationen mit Tausenden von Computerinfektionen eingesetzt werden, ist miniFlame/SPE ein Werkzeug zur Durchführung von chirurgisch genauen Attacken.

miniFlame fußt tatsächlich auf der Plattform Flame, doch dieser Schädling ist ein unabhängiges Modul, das selbstständig funktioniert, ohne dass Grundmodule von Flame im System vorhanden sein müssen. Bemerkenswert ist die Tatsache, dass miniFlame in Kombination mit einem anderen Spionageprogramm verwendet wird, und zwar mit Gauss.

Allem Anschein nach begann die Entwicklung von miniFlame bereits vor einigen Jahren und wurde bis zum Jahr 2012 fortgesetzt. Dem Code der Steuerungsserver nach zu urteilen wurden die Bedienungsprotokolle SP und SPE früher oder gleichzeitig mit dem Protokoll für FL (Flame) entwickelt, das heißt also spätestens im Jahr 2007.

Die Hauptaufgabe von miniFlame besteht darin, als Backdoor auf den infizierten Systemen zu agieren, was den Angreifern die Möglichkeit gibt, diese Rechner direkt zu steuern.

Die Zahl der Opfer von miniFlame ist mit der Zahl der Duqu-Opfer vergleichbar.

Fasst man die Daten über alle innerhalb des letzten Jahres entdeckten Schadprogramme zusammen, die wir zur Klasse der „Cyberwaffen“ zählen, so wird die geografische Dominanz einer Region überaus deutlich.

Und nun?

Ausgehend von unseren Erfahrungen beim Aufspüren und Analysieren aller oben beschriebenen Schadprogramme können wir im Folgenden einen Ausblick auf moderne Bedrohungen und deren Klassifikation geben. Am deutlichsten lässt sich die aktuelle Lage in Form einer Pyramide darstellen.

Ihr Fundament bilden die unterschiedlichsten Bedrohungen, die wir der „traditionellen“ Cyberkriminalität zuordnen. Ihre Hauptmerkmale sind massenhafte Attacken und die Ausrichtung gegen gewöhnliche User. Das Hauptziel der Kriminellen ist hierbei der direkte finanzielle Vorteil. Banktrojaner, Klicker, Erpresser-Malware, mobile Trojaner und andere Schädlinge gehören in diese Gruppe. Insgesamt machen sie über 90 Prozent aller aktuellen Bedrohungen aus.

Auf der zweiten Ebene befinden sich Bedrohungen, die sich gegen Organisationen richten. Das sind die zielgerichteten Attacken, wobei es sich um Industriespionage und zielgerichtete Hackerangriffe handeln kann, deren Zweck darin besteht, das Opfer zu diskreditieren. Die Angreifer spezialisieren sich dabei entweder auf ein konkretes Ziel oder einen konkreten Auftraggeber. Im Rahmen derartiger Attacken werden Informationen oder intellektuelles Eigentum gestohlen – der direkte finanzielle Gewinn ist in diesem Fall nicht das unmittelbare Ziel der Angreifer. Zu dieser Gruppe zählen wir verschiedene Arten von Schadprogrammen, die von einigen Unternehmen im Auftrag von Strafverfolgungsbehörden verschiedener Länder entwickelt werden und die praktisch offen zum Verkauf angeboten werden, zum Beispiel die Produkte der Firmen Gamma Group und Hacking Team SRL.

Die dritte Ebene, die Spitze der Pyramide, wird von Software belegt, die man als „Cyberwaffen“ klassifizieren kann. Hierzu zählen wir Schadprogramme, deren Entwicklung und Finanzierung von staatlichen Strukturen verschiedener Länder dieser Welt getragen werden. Derartige Malware wird gegen Bürger, Organisationen und Behörden anderer Länder eingesetzt.

Auf der Grundlage aller uns bekannten Samples derartiger Programme können wir diese Kategorie wiederum in drei Hauptbedrohungsgruppen einteilen:

• Die „Zerstörer“. Dabei handelt es sich um Programme, die Datenbanken und Informationen generell zerstören. Sie können in Form von „logischen Bomben“ realisiert oder bereits vorher ins System eingeschleust werden, um ihre destruktive Funktion dann zu einem bestimmten Zeitpunkt auszuführen beziehungsweise um im Rahmen einer zielgerichteten Attacke mit sofortiger Ausführung eingesetzt zu werden. Das passendste Beispiel für einen Vertreter dieser Gruppe ist Wiper.
• Spionageprogramme. In diese Gruppe fallen Flame, Gauss, Duqu und miniFlame. Ihr Hauptziel besteht im Sammeln aller nur erdenklichen Informationen, die meist überaus spezifisch sind (zum Beispiel Daten von Autocad-Projekten oder SCADA-Systemen) und die dann wiederum zur Entwicklung anderer Bedrohungen genutzt werden können.
• Werkzeuge der Cybersabotage. Es handelt sich hierbei um die höchste Form von Cyberwaffen – Bedrohungen, die dem angegriffenen Objekt physischen Schaden zufügen können. Selbstverständlich gehört der Wurm Stuxnet in diese Kategorie. Diese Bedrohungsart ist einzigartig und sie wird nur höchst selten eingesetzt. Allerdings nehmen die Anstrengungen verschiedener Staaten mit jedem Jahr weiter zu, diese Art von Cyberwaffen zu entwickeln und sich gleichzeitig wirksam vor ihnen zu schützen.

Copyright © 1996 - 2013 Kaspersky Lab Industry-leading Antivirus Software All rights reserved