Kaspersky: Shamoon ist das Werk talentierter Amateure

Von Shamoon genutztes Wikipedia-Bild

Kaspersky hat die Malware Shamoon analysiert, die 30.000 Festplatten im Netzwerk der Ölfirma Saudi Aramco angegriffen hatte. Den Spezialisten zufolge handelt es sich um einfach und schnell zusammengestrickten Code, den vermutlich „talentierte Amateure“ geschrieben hätten.

Von Shamoon genutztes Wikipedia-Bild

Bei Saudi Aramco konnte Kaspersky das Schlimmste verhindern, als es proaktiv Netzwerkverbindungen abschaltete. In seiner Auswertung wirft es den Autoren des Schadprogramms „dumme Fehler“ vor, etwa einen fehlerhaften Datumsabgleich und das Ersetzen von Kleinbuchstaben durch Großbuchstaben. „Statt einem korrekten Format-String verwendet der Malware-Autor ‚%S%S%d.%s‘ mit großem ‚S‘. Dadurch schlägt die Funktion sprintf fehl; es wird kein voller Path String erstellt. Das heißt wiederum, dass keine Datei abgelegt werden kann – und es also auch nicht zur Ausführung kommt. Aus diesem Grund kann Shamoon keine anderen Programme ausführen.“

Laut Kaspersky-Forscher Dmitry Tarakanov spielt der Code längst nicht in einer Liga mit Stuxnet und Flame. Um Dateien aus Festplatten zu ersetzen, verwendeten die Autoren ein Bild, das aus Wikipedia stammte. Da der Name US_flag_burning.jpg nicht geändert wurde, scheint es sich um einen bewussten Hinweis auf die Online-Enzyklopädie gehandelt zu haben. Die jüngste Shamoon-Version verwendet das Bild übrigens nicht mehr, sondern ersetzt Blöcke von 192 KByte Größe mit zufälligen Daten.

Die auch als W32.Disttrack bezeichnete Malware ändert zudem die Partitionen infizierter Maschinen. Sie überschreibt bevorzugt Dateien, die als Downloads, Dokumente, Bilder, Videos oder Desktops erkennbar sind. Tarakanov erwähnt noch einen verwirrenden Aspekt: Shamoon nutzt überflüssigerweise legitime, signierte Treiber der Eldos-Software RawDisk. Sie werden aber gar nicht benötigt, um Bilder zu überschreiben.

Aus all dem schließt Tarakanov, dass die Malware von Amateuren geschrieben wurde – „allerdings talentierten Amateuren, da es ihnen gelang, eine funktionierende, sich selbst replizierende zerstörerische Schadsoftware zu schreiben.“

Der Vorfall bei Aramco hatte am 15. August begonnen. Ein ähnlicher Angriff auf die Erdgasfirma RasGas aus Katar wird ebenfalls mit Shamoon in Verbindung gebracht, dies ist aber bis heute nicht bestätigt.

[mit Material von Charlie Osborne, ZDNet.com]

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.