NSA-Exploits: EternalRocks nutzt mehr Schwachstellen als WannaCry

Sicherheitsforscher haben einen neuen Wurm entdeckt, der sieben verschiedene NSA-Exploits nutzt, die im April von der Hackergruppe Shadow Brokers in Umlauf gebracht wurden. EternalRocks versucht außerdem besonders geschickt, seine Entdeckung zu vermeiden.

Eine ernsthafte Bedrohung stellt der Wurm derzeit noch nicht dar, da er bislang keine Ransomware oder ähnliche Schadsoftware transportiert. Er lässt schädliche Elemente vermissen, verschlüsselt keine Dateien und nimmt infizierte Computer nicht in ein Botnetz auf. Sicherheitsforscher befürchten aber, dass die Hintermänner mit dem Wurm zunächst für möglichst zahlreiche Infektionen sorgen und ihn dann „scharfmachen“ wollen. Die Rede ist von einem „Doomsday“-Wurm, der überraschend zuschlagen könnte.

Symantec beschreibt W32.Eternalrocks als einen Wurmtyp, der Windows befällt und als Trojaner bösartige Aktivitäten entfalten könnte. Die Sicherheitsfirma misst ihm aktuell Risikostufe 1 und damit eine sehr geringe Gefährdung bei. „Symantec Security Response untersucht derzeit diese Bedrohung und wird weitere Informationen veröffentlichen, wenn sie verfügbar sind“, heißt es dazu.

Entdeckt hat den Wurm, der ein ganzes Sammelsurium von Schwachstellen nutzt, Sicherheitsexperte Miroslav Stampar vom kroatischen CERT. EternalRocks machte sich sogar schon am 3. Mai erstmals bemerkbar, berichtet er in seiner Beschreibung auf GitHub. Auf den Wurm aufmerksam wurde er, als dieser eine Honeypot-Falle infizierte.

EternalRocks setzt EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch und SMBTouch ein – alles von den Shadow Brokers öffentlich gemachte Exploits des US-Auslandsgeheimdienstes NSA. Auch die Mining-Malware Adylkuzz kombinierte bereits NSA-Exploits, den auf die SMB-Lücke ausgerichteten Exploit EternalBlue mit einer Backdoor namens DoublePulsar.

Anders als die Ransomware WannaCry, die Dateien verschlüsselt und Opfer mit einer Lösegeldforderung anspricht, bleibt EternalRocks verborgen und verhält sich zunächst ruhig. Es lädt den Tor-Browser herunter und schickt ein Signal an versteckte Server. Dann folgt eine 24-stündige Sendepause, mit der die Hintermänner offenbar eine Analyse durch Sicherheitsforscher erschweren wollen. Erst einen Tag später reagiert der Server, die Weiterverbreitung des Wurms beginnt.

„EternalRocks ist in vielerlei Hinsicht eine Malware-Variante, der nur mit traditionellen Abwehrmethoden nicht beizukommen ist“, kommentiert Paul Calatayud, Chief Technology Officer bei Firemon. „Anders als WannaCry, das sich einiger der veröffentlichten NSA-Exploits bedient, um die Dateien auf dem infizierten Computer zu verschlüsseln und für die Entschlüsselung ein entsprechendes Lösegeld zu verlangen, operiert EternalRocks im Schatten, sowohl auf dem infizierten Computer als auch im Darkweb. Infizierte Rechner werden sich also nicht wie im Fall von WannaCry durch ein freundliches Pop-up-Fenster mit einer in Bitcoins zu zahlenden Lösegeldforderung identifizieren lassen. Eher durch den nachfolgenden Datenklau auf den infizierten Rechnern wie beispielsweise Anmeldeinformationen, Passwörter und beim Zugriff auf Webseiten persönliche Bankdaten und E-Mail-Konten.“

Calatayud empfiehlt als Vorsichtsmaßnahme, das Netzwerk so zu konfigurieren, dass es keine Verbindungen mit dem Anonymisierungsnetzwerk Tor erlaubt. Sinnvoll sei auch die Auditierung von Firewalls dahingehend, ob eine Verbindung zum Tor-Netzwerk aufgenommen wird – ein mögliches Anzeichen für eine bereits erfolgte Infektion des betreffenden Rechners durch EternalRocks.

[mit Material von Alfred Ng, CNET.com]