Symantec meldet Spionage mit Laziok in der Energiebranche

Symantec weist auf einen neuen Trojaner hin, der offenbar zum Ziel hat, die internationale Energiebranche auszuspionieren – „mit einem Fokus auf dem Mittleren Osten“. Es hat für die Daten stehlende Malware den Namen Trojan.Laziok gefunden.

Laziok ist aber nur das Aufklärungswerkzeug einer mehrstufigen Kampagne, die man in Januar und Februar beobachtet habe, erklärt Symantec. Die Angreifer infiltrierten damit Zielsysteme und entwendeten Daten zum System selbst und dem Netzwerk, um über weitere Angriffe zu entscheiden und diese vorzubereiten. Insgesamt sei es das Ziel, Betriebsgeheimnisse auszuspionieren.

Laziok greift Öl- und Gasfirmen an (Bild: Symantec).

Die meisten entdeckten Ziele befassen sich mit Erdöl-, Gas- und Heliumförderung. Die häufigsten Länder sind die Vereinigten Arabischen Emirate, Pakistan, Saudi-Arabien und Kuwait. Auch die USA und Großbritannien sind von je etwa 5 Prozent der Infektionen betroffen, aber bisher keine anderen europäischen Länder.

Auftreten von Laziok nach Ländern (Diagramm: Symantec)

Es ist aber eine EU-Domain, von der die Angriffe zunächst ausgehen, nämlich moneytrans[.]eu, ein SMTP-Server. Er versendet E-Mails mit bösartigen Anhängen, die unter Windows die Schwachstelle CVE-2012-0158 in ActiveX ausnutzt, die Remote-Code-Ausführung erlaubt. Der Downloader wird zumeist als Excel-Datei getarnt.

Ist der Trojaner erst einmal installiert, versteckt er sich in den Verzeichnissen %SystemDrive%\Documents und Settings\All Users\Application Data\System\Oracle. Seine Dateien gibt er dann legitim wirkende Namen wie search.exe und chrome.exe.

Anschließend beginnt er, Systemdaten zu sammeln, darunter Computernamen, installierte Software, RAM-Größe, CPU und installierte Antiviren-Anwendung. Dies wird an die Angreifer übermittelt, die nun reagieren und zusätzlichen Schadcode aufspielen können, je nachdem, ob sie Schaden anrichten oder Daten stehlen wollen.

Symantec schreibt: „Die Gruppe hinter diesem Angriff wirkt nicht sehr entwickelt, da sie eine alte Schwachstelle nutzt und mit ihren Angriff bekannte Schadprogramme verteilt, wie sie im Untergrund-Markt erhältlich sind.“ Allerdings gebe es offenbar ausreichend Opfer, die mehrere Jahre alte Schwachstellen ungepatcht ließen.

Gegen die Energiebranche insbesondere im Mittleren Osten hatte sich auch 2012 die Malware Shamoon gerichtet. Ihr gelang es etwa, auf einen Schlag 30.000 Rechner eines Ölunternehmens aus Saudi-Arabien lahmzulegen. Das übliche Vorgehen von Shamoon ist es, erst Daten zu stehlen und dann Dateien wie Dokumente, Bilder und Videos von betroffenen Rechnern mit einem Bild zu überschreiben. Gleiches führt es anschließend für den Master Boot Record aus – also das Inhaltsverzeichnis des Speichermediums und somit eine systemrelevante Datei. Danach ist es nicht mehr möglich, den betroffenen Rechner zu starten.

Kaspersky nannte Shamoon allerdings später „das Werk talentierter Amateure“. Es warf den Autoren des Schadprogramms „dumme Fehler“ vor, etwa einen fehlerhaften Datumsabgleich und das Ersetzen von Kleinbuchstaben durch Großbuchstaben.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de