Shamoon-Malware löscht Daten von italienischem Mineralölkonzern

Das italienische Unternehmen Saipem, das Dienstleistungen für die Erdöl- und Erdgasförderung anbietet, hat einen Ausfall seiner IT-Systeme durch eine Schadsoftware eingeräumt. Im Netzwerk des Unternehmens fand sich demnach eine neue Variante der Shamoon-Malware. Auf rund zehn Prozent der PCs von Saipem soll sie Daten gelöscht haben.

Die meisten befallenen Systeme gehörten zu Niederlassungen im Mittleren Osten, wo Saipem den größten Teil seiner Geschäfte tätigt. Infiziert wurden aber auch Systeme in Indien, Schottland und in Italien.

Shamoon gehört zu den gefährlichsten Malware-Familien, da sie vor allem darauf aus ist, Daten zu zerstören. Bei zwei Vorfällen in den Jahren 2012 und 2016 wurde Shamoon gegen Saudi Aramco eingesetzt, den größten Mineralölproduzenten in Saudi Arabien. Allein 2012 waren mehr als 30.000 PCs betroffen, was den Geschäftsbetrieb des Unternehmens für Wochen lahmlegte.

Auch der neue Angriff mit Shamoon hat einen Bezug zu Saudi Aramco. Saipem, das zu 30 Prozent der italienischen Eni Group gehört, ist einer der wichtigsten ausländischen Lieferanten von Saudi Aramco.

Bereits am Montag hatte Saipem gemeldet, es sei am Wochenende das Opfer eines Cyberangriffs geworden – ohne jedoch Shamoon oder andere Details zu erwähnen. Am selben Tag wurde die neue Shamoon-Variante auf VirusTotal hochgeladen, und zwar von einer IP-Adresse, die der italienischen Region zuzuordnen ist, in der Saipem seinen Firmensitz hat. Am Tag darauf wurden weitere Muster aus Indien hochgeladen, wo Saipem ebenfalls mit Niederlassungen vertreten ist.

Nach mehreren Nachfragen von ZDNet USA und anderen Medien bestätigte Saipem schließlich, dass seine Systeme durch Shamoon infiziert wurden. „Der Angriff führte zur Zerstörung von Daten und Infrastrukturen“, teilte das Unternehmen mit. Dabei handele es sich um typische Auswirkungen von Malware-Angriffen. Eine Quelle aus dem Umfeld von Saipem erklärte gegenüber ZDNet, die Angreifer hätten die Daten nicht gelöscht, sondern verschlüsselt.

Ein Sicherheitsforscher, der die auf VirusTotal hochgeladenen Shamoon-Muster analysiert hat, Widersprach jedoch den Aussagen der Quelle. Die neue Variante überschreibe Dateien mit unnützen Daten. Auf den ersten Blick könnten diese Daten wie verschlüsselte Dateien aussehen, es seien jedoch zufällige Zeichenfolgen. Außerdem sei es nicht möglich, die ursprünglichen Daten mit einem Schlüssel wiederherzustellen.

Der Geschäftsbetrieb des Unternehmens wurde offenbar nur bedingt gestört. Es sollen nur reguläre Workstations und Notebooks befallen sein, nicht aber die für die Produktion benötigten industriellen Anlagen. Offiziell spricht Saipem von Servern, die mit Shamoon infiziert wurden und derzeit mithilfe einer Backup-Infrastruktur wiederhergestellt würden. Danach seien die betroffenen Standorte wieder voll einsatzbereit – zu derzeitigen Einschränkungen äußerte sich Saipem indes nicht.

Unklar ist derzeit auch, wie Shamoon in die Systeme von Saipem gelangte. Laut Brandon Levene, Sicherheitsforscher bei Chronicle, der die neue Shamoon-Variante auf VirusTotal entdeckte, fehlen ihr zwei Komponenten, die Shamoon bisher für seine Verbreitung nutzte: eine Liste mit Anmeldedaten für SMB-Server und eine Netzwerkkomponente für die Kommunikation mit einem entfernten Server.

Levene vermutet, dass ein Angreifer mit Zugang zum Saipem-Netzwerk für den Malware-Befall verantwortlich ist. Saipem soll indes untersuchen, ob die Malware über das Remote Desktop Protocol von Windows eingeschleust wurde.