Symantec: Trojaner Laziok spioniert Energiebranche aus
Die Malware ist Teil einer mehrstufigen Kampagne, die Symantec im Januar und Februar beobachtet hat. Laziok zielt insbesondere auf Öl und Gas fördernde Firmen ab. Der Fokus liegt dabei auf dem Mittleren Osten.
Symantec hat vor einem Trojaner gewarnt, der die internationale Energiebranche ausspionieren soll. Dem Blog des Sicherheitsunternehmens zufolge liegt der “Fokus auf dem Mittleren Osten”. Die Malware hat es Trojan.Laziok genannt.
Laziok ist dabei nur ein Teil einer mehrstufigen Kampagne und übernimmt die Rolle des Aufklärungswerkzeugs. Symantec hat die Angriffe eigenen Angaben zufolge im Januar und Februar beobachtet. Die Cyberkriminellen haben die Malware genutzt, um damit Zielsysteme zu infiltrierten. Anschließend entwendeten sie Daten zum System selbst und dem Netzwerk. Diese nahmen sie als Grundlage für die Vorbereitung weiterer Angriffe. Insgesamt sei es das Ziel, Betriebsgeheimnisse auszuspionieren.
Vor allem Firmen aus den Bereichen Erdöl-, Gas- und Heliumförderung gehören zu den Opfern der Angreifer. Am häufigsten betroffen sind die Länder Vereinigte Arabischen Emirate, Pakistan, Saudi-Arabien und Kuwait. Mit jeweils 5 Prozent der Infektion gehören auch die USA und Großbritannien zu den Zielen, aber bislang keine anderen europäischen Länder.
Laziok versteckt sich in Excel-Datei
Die Angriffe gehen zunächst von der EU-Domain moneytrans[.]eu aus, ein SMTP-Server. Dieser verschickt E-Mails mit manipulierten Anhängen, die unter Windows die Schwachstelle CVE-2012-0158 in ActiveX ausnutzen. Dieser ermöglicht die Ausführung von Remote-Code. Zumeist tarnt sich der Downloader als Excel-Datei.
Ist der Trojaner erst einmal installiert, versteckt er sich in den Verzeichnissen %SystemDrive%\Documents und Settings\All Users\Application Data\System\Oracle. Seine Dateien gibt er dann legitim wirkende Namen wie search.exe und chrome.exe.
Im Anschluss sammelt der Trojaner Systemdaten wie Computernamen, installierte Software, RAM-Größe, CPU und installierte Antiviren-Anwendung. Diese übermittelt er an die Angreifer, die nun reagieren und zusätzlichen Schadcode aufspielen können, je nachdem, ob sie Schaden anrichten oder Daten stehlen wollen.
Kriminelle nutzten alte Schwachstellen
Symantec schreibt: “Die Gruppe hinter diesem Angriff wirkt nicht sehr entwickelt, da sie eine alte Schwachstelle nutzt und mit ihren Angriff bekannte Schadprogramme verteilt, wie sie im Untergrund-Markt erhältlich sind.” Allerdings gebe es offenbar ausreichend Opfer, die mehrere Jahre alte Schwachstellen ungepatcht ließen.
Bereits 2012 hatte sich die Malware Shamoon gegen die Energiebranche insbesondere im Mittleren Osten gerichtet. Sie konnte 30.000 Rechner eines Ölunternehmens aus Saudi-Arabien lahmlegen. Das übliche Vorgehen von Shamoon ist es, erst Daten zu stehlen und dann Dateien wie Dokumente, Bilder und Videos von betroffenen Rechnern mit einem Bild zu überschreiben. Gleiches führt es anschließend für den Master Boot Record aus – also das Inhaltsverzeichnis des Speichermediums und somit eine systemrelevante Datei. Danach ist es nicht mehr möglich, den betroffenen Rechner zu starten.
Kaspersky nannte Shamoon allerdings später “das Werk talentierter Amateure”. Es warf den Autoren des Schadprogramms “dumme Fehler” vor, etwa einen fehlerhaften Datumsabgleich und das Ersetzen von Kleinbuchstaben durch Großbuchstaben.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de