Manche Schadprogramme wollen einfach nur die Welt brennen sehen

Costin Raiu, Chef der Forschungsabteilung von Kaspersky Lab bezeichnet den Großteil der bekannten Schadprogramme als Crimeware – Programme, die von Cyberkriminellen veröffentlicht werden, um Geld zu machen: durch den Diebstahl von Zugangsdaten, privaten Informationen, Ressourcen oder direkt von Geld.

malware wiper

Costin Raiu, Chef der Forschungsabteilung von Kaspersky Lab bezeichnet den Großteil der bekannten Schadprogramme als Crimeware – Programme, die von Cyberkriminellen veröffentlicht werden, um Geld zu machen: durch den Diebstahl von Zugangsdaten, privaten Informationen, Ressourcen oder direkt von Geld. Die zweite große Kategorie schädlicher Software wird exklusiv für Cyberspionage entwickelt und von verschiedenen fortschrittlichen Angreifern verwendet – oft mit staatlicher oder wirtschaftlicher Hilfe, oder mit Unterstützung durch einen anderen, finanziell gut gestellten Gönner. Die dritte, viel kleinere Gruppe sind die Schadprogramme, die auf Zerstörung aus sind. Diese werden manchmal auch als Wiper bezeichnet.

Die frühesten Schadprogramme waren fast ausschließlich destruktiv. Ende der 1990er Jahre war das Internet noch nicht der riesige Speicherplatz für wertvolle Daten, der es heute ist. Zudem mussten organisierte Verbrecher erst den finanziellen Wert der – damals noch – einfach zugänglichen Informationen erkennen. Also erstellten die Hacker damals, ähnlich der heutigen Ransomware, Schadprogramme, die Festplatten verschlüsselten oder die Daten auf Computern auf andere Art und Weise zerstörten. Es gab bei den frühen Trojanern und deren Programmieren eine spielerische Böswilligkeit. So weit ich weiß, war Geld nicht der Hauptantrieb für die ersten Schadprogrammautoren.

Zerstörerische Wiper-Schadprogramme sind niemals ganz verschwunden, doch nun werden sie – im düsteren Zeitalter der Attacken von Staaten auf andere Staaten oder von Staaten auf Firmen – mit neuer Kraft wiederbelebt. In den letzten drei Jahren haben unsere Freunde bei Securelist nicht weniger als fünf unterschiedliche Wiper-Attacken erforscht.

Wiper-Schadprogramme bleiben aber weiterhin auf dem dritten Rang der Schädlinge; und Sie und ich werden uns darüber wohl kaum Sorgen machen müssen.

Das erste Schädlingsexemplar, das einfach Wiper genannt wurde, war so effektiv, dass es sogar sich selbst von Tausenden von iranischen Computern löschte, die es infiziert haben soll. Deshalb konnte niemand das Schadprogramm analysieren. Im Vergleich zu anderen zerstörerischen Schadprogrammen war dieses Exemplar wohl recht neuartig und zielte auf eine Menge Computer ab, die anscheinend zufällig infiziert wurden. Doch Wiper ist bedeutend, weil er – egal, wer den Schädling programmiert hat und was er damit erreichen wollte – als Inspiration für folgende Schadprogramme diente.

Vor allem Shamoon gilt als Nachfolger des mysteriösen Wiper. Dieses zerstörerische Exemplar drang in das Netzwerk der Firma ein, die wohl das wertvollste Unternehmen und auf jeden Fall der größte Ölproduzent der Welt ist: Saudi Aramco. Shamoon hat bei der Saudi-Arabischen Ölfirma im August 2012 schnelle Arbeit geleistet und mehr als 30.000 Firmencomputer zerstört. Das Schadprogramm, dessen Ursprung von einigen in Iran vermutet wird, auch wenn sich eine Hackergruppe zu dem Angriff bekannte, konnte seine Existenz allerdings nicht so gut wie Wiper verwischen. Forscher konnten Shamoon sicherstellen und fanden heraus, dass der Schädling bei seinem Angriff zwar primitive, aber sehr effektive Methoden verwendete.

Dann kam Narilam, ein listiges Stück Malware, das wohl die Datenbanken einiger Finanz-Apps angreifen sollte, die fast ausschließlich in Iran genutzt werden. Narilam war anders als die anderen Wiper-Schädlinge, da er sehr langsam arbeitete – ausgerichtet auf Langzeit-Sabotage. Kaspersky Lab hat einige verschiedene Narilam-Versionen entdeckt, von denen manche schon aus dem Jahr 2008 stammen. Und obwohl Narilam und ähnliche Schädlinge langsam agieren, können sie dennoch langfristig sehr zerstörerisch wirken.

Ein weiteres Wiper-ähnliches Schadprogramm war Groovemonitor (auch bekannt als Maya). Hierbei handelt es sich um das iranische Gegenstück zum dem Schadprogramm, das das Computer Emergency Response Team im Jahr 2012 unter dem Namen Maher entdeckte. Es handelt sich dabei um eine recht simple Bedrohung, die die Opfer-Computer eher mit einem Knüppel als mit einem Skalpell angreift. Groovemonitor enthält einen vorgeschriebenen Zeitraum zwischen zwei Zeitpunkten und versucht in dieser Zeit, alle Dateien auf den Laufwerken D bis I eines Computers zu löschen.

Die aktuellste Bedrohung dieser Art ist Dark Seoul, ein Schadprogramm, das bei einer koordinierten Attacke gegen mehrere Banken und Medienunternehmen in Seoul verwendet wurde. Dieser Angriff unterschied sich von den vorhergehenden, da kein Golf-Staat (Iran oder Saudi-Arabien) beteiligt zu sein schien und da er recht offensichtlich war, so dass man annehmen kann, dass die Angreifer vor allem auf Bekanntheit abzielten, statt auf heimliche Sabotage.

„Die Macht, mit einem Klick Zehntausende Computer zu löschen, ist für jede Cyber-Armee ein wichtiger Posten“, so Costin Raiu in einem Artikel auf Securelist. „Zusammen mit einer echten kinetischen Attacke kann das ein noch viel zerstörerischer Schlag werden, um die Infrastuktur eines Landes zu lähmen.“

Wiper-Schadprogramme bleiben aber weiterhin auf dem dritten Rang der Schädlinge; und Sie und ich werden uns darüber wohl kaum Sorgen machen müssen. Schließlich gibt es nicht viel, das normale Internet-Nutzer tun können, ihre Wasser- und Stromversorgung vor Schadprogrammen zu schützen, die Aufsichtskontrollen und Datenerfassungen oder industrielle Kontrollsysteme (die Hardware und Software, die Stromnetze, Produktionsprozesse usw. kontrolliert) auslöschen kann. Das sind die Bedrohungen, die von spezialisierten Sicherheitsfirmen, Verwaltern kritischer Infrastrukturen und – vielleicht sogar am wichtigsten – von Regierungen überwacht und entschärft werden müssen.

Die gute Nachricht – zumindest für Anwender in den USA und deren Verbündeten – ist, dass der US-Kongress bald über den bekannten, überparteilichen und von der Wirtschaft befürworteten National Cybersecurity and Critical Infrastructure Protection Act of 2013 abstimmen wird. Das Gesetz wurde in erster Linie dafür geschaffen, zwischen der Regierung und den Firmen, die kritische Infrastrukturen verwalten, den Austausch von Informationen über Bedrohungen zu fördern. Ähnliche Bestrebungen und Gesetzgebungen werden auch in vielen anderen Ländern bereits angestrebt.

Tipps