#5 Shamoon

Im August 2012 schlug eine destruktive Schadsoftware zu und sorgte dafür, dass mehr als 30.000 Computer des betroffenen Unternehmens nicht mehr starten konnten. Es kam in der Folge zu einem massiven, wochenlangen Ausfall. Wie funktioniert diese Wiper-Malware? Welche ihrer Eigenschaften sind charakteristisch und lassen sich etwa im Rahmen der Attribution nutzen? Wie wurde die Malware letztlich einem staatlich-gestützten Akteur mit Bezug zu Iran zugeschrieben? Diesen Fragen gehen wir in dieser Podcast-Folge auf den Grund und lassen den Blick auch ein bisschen über destruktive Wiper-Angriffe schweifen.

Transkript anzeigen...

00:00:31 Christian Dietrich: Hallo liebe Cyberfreunde. Mein Name ist Chris, ich bin Professor für IT Sicherheit an der Westfälischen Hochschule…

00:00:38 Lars Wallenborn: … und mein Name ist Lars Wallenborn. Und ich arbeite als Software Entwickler und Malware Analyst bei CrowdStrike.

00:00:43 Christian Dietrich: Lars, normalerweise sprechen wir ja viel über Malware Angriffe die eher leise passieren. So Spionageangriffe beispielsweise, die hört man in der Regel nicht. Aber heute wollen wir mal über was anderes reden. Heute wird es mal laut, sozusagen, im Malware Kontext. Das wollen wir uns heute mal anschauen und es geht maßgeblich um einen Vorfall im August 2012.

00:01:03 Lars Wallenborn: Ja genau. Und bei diesem Vorfall, das kann man sich so vorstellen: Größere Firma, morgens kommen alle ins Büro, und irgendwie zeigen die Computer seltsame Fehlermeldungen an. Und einige Computer werden dann neu gestartet und fahren irgendwie nicht hoch. Und eigentlich funktioniert gar nichts mehr so richtig. Da würde man heute eigentlich davon ausgehen, da hat wahrscheinlich ein Ransomware Angriff stattgefunden. Also da wurde irgendwie eine Malware von einem Kriminellen ausgebracht und der will jetzt Geld dafür haben, dass die Computer wieder funktionieren. Aber wie wir gleich herausfinden werden, handelt es sich hierbei um etwas anderes.

00:01:32 Christian Dietrich: Genau. Betroffen ist die teuerste Firma der Welt. Also die Financial Times schätzte 2010, dass das Unternehmen, um das es hier geht, mit etwa zwei Billionen US-Dollar das wertvollste der Welt ist.

00:01:45 Lars Wallenborn: Ist Apple so viel wert? Ich weiß es überhaupt nicht, wie viel diese ganzen Firmen wert sind.

00:01:49 Christian Dietrich: Ja, man würde vielleicht eher so an Apple denken oder Google, aber um die geht es hier nicht. Es geht um ein Unternehmen, dass 1933 gegründet ist, also keins von den neueren Tech-Unternehmen, und das den größten Börsengang in der Geschichte hingelegt hat. Der war allerdings erst 2019. Es handelt sich um Saudi Aramco.

00:02:06 Lars Wallenborn: Die machen Öl, nicht wahr?

00:02:08 Christian Dietrich: Ja. Ganz genau. Das ist der weltgrößte Ölproduzent, mit dem Hauptsitz eben in Saudi Arabien, aber natürlich auf der ganzen Welt irgendwie vertreten.

00:02:17 Lars Wallenborn: Und bei denen wurden die Rechner halt infiziert mit einer Malware und da finde ich, müssen wir das direkt mal ein bisschen auseinander dividieren. Bei so einer Firma, die in der Industrie arbeitet, also jetzt hier Öl fördert, da denkt man immer direkt, dass die Systeme, die dafür verantwortlich sind die großen Maschinen zu steuern, also die ICS – Industrie Control Systems – dann von dieser Malware betroffen sind. Aber das war hier nicht so. Hier wurde ausschließlich quasi der Orga-Bereich der Firma, also die Bürocomputer von dieser Malware infiziert.

00:02:48 Christian Dietrich: Also die Pumpen liefen noch alle und konnten Öl fördern, aber der Teil, der sozusagen für die Verteilung und Distribution des Öls zum Beispiel zuständig war, der hatte eben so ein paar Probleme. Genau. Das sind nicht weniger als 30.000 Computer gewesen, die davon befallen waren. Um mal so eine Größenordnung irgendwie hier zu nennen.

00:03:06 Lars Wallenborn: Und die Zahl, die ist auch bestätigt worden, oder die Zahl kommt sogar aus dem offiziellen Presse Statement von Saudi Aramco, die sie nach dem Vorfall veröffentlicht haben. Was natürlich nicht heißt, dass da dann das Öl noch floss oder so. Also das floss wahrscheinlich schon noch irgendwie, aber es gab dann auch so Bilder, die um die Welt gegangen sind, von langen Schlangen von LKWs, die da waren um Öl abzuholen, aber keins gekriegt haben. Wahrscheinlich, weil sie nicht bezahlen konnten. Weil, das läuft ja dann schon noch über die Büros.

00:03:32 Christian Dietrich: Womit sind diese Rechner jetzt befallen worden? Darum soll es ein bisschen gehen. Na ja, wir haben eben schon vorweg genommen, es geht um eine Malware. Ja, man könnte jetzt fragen: Gab es irgendwie eigentlich Lösegeld? Nein. Denn es ging ja eben nicht um Ransomware, das war 2012 noch gar nicht so ein riesen Thema, Ransomware, sondern es geht um einen sogenannten Wiper. Ja, to wipe – im englischen eben im Prinzip für wischen – wird häufig so verwendet, dass man eben Dateien löscht. Und zwar unwiederbringlich versucht diese Dateien zu löschen.

00:04:04-2 Lars Wallenborn: Beim unwiederbringlich Dateien löschen ist vielleicht noch wichtig, dass wenn man auf seinem Computer eine Datei löscht oder wenn man sie in den Papierkorb verschiebt, dann ist ja quasi jedem klar, dass da nicht viel passiert. Aber selbst wenn man sie aus dem Papierkorb entfernt, ist sie auf einem Dateisystem Level auch noch nicht irgendwie einfach verschwunden. Also wenn man sich die Festplatte dann roh anguckt, sage ich mal, …

00:04:24 Christian Dietrich: …digital-forensisch beispielsweise.

00:04:27 Lars Wallenborn: …digital-forensisch, dann kann man die Dateien auch finden. Die werden eigentlich nur zum Löschen markiert und nicht schon direkt gelöscht. Deswegen müssen solche Wiper-Malware noch etwas tun, damit man die Daten digital-forensisch nicht wieder herstellen kann. Und dieser Wiper, der macht das, indem er eine Bilddatei mitbringt und die verwendet um die Dateien zu überschreiben, bevor sie als gelöscht markiert werden. Und das ist ganz interessant. Ich meine, der Computer wird danach nicht mehr starten können, das heißt er wird diese Bilddatei auch nicht anzeigen können. Das heißt, der einzige Moment, wo diese Bilddatei überhaupt erst auftauchen kann, ist, wenn sich das jemand anguckt – ein technischer Analyst – und da dann halt guckt, womit die Dateien überschrieben wurden. Und dann wird erst diese Bilddatei auftauchen.

00:05:14 Christian Dietrich: Also diese Bilddatei kann man eigentlich erst über digitale Forensik feststellen oder wiederfinden. Und nicht in irgendeiner Form, indem man den Computer einschaltet und dann erscheint auf magische Art und Weise eben diese Bilddatei, die verwendet wurde, um da irgendwas zu überschreiben. Was für eine Bilddatei ist da verwendet worden zum Überschreiben?

00:05:30 Lars Wallenborn: Das war ein Bild von einer brennenden amerikanischen Flagge. Also ich sage mal, ein politisch aufgeladenes Foto.

00:05:38 Christian Dietrich: Und wenn wir uns technisch jetzt nochmal so ein bisschen damit beschäftigen, wie dieses Löschen, dieses Wipen, eigentlich von sich geht, dann gibt es hier auch eine Besonderheit oder gibt es bei Wipern eben nicht viele Möglichkeiten, das eben genau so hin zu bekommen. Und hier gibt es eben die Besonderheit, dass hier ein ganz besonderer Treiber verwendet wurde. Der ist nicht selbst von den Autoren, von den Malware Autoren, geschrieben worden, sondern der ist kommerziell verfügbar. Der sogenannte EldoS Raw Disk Driver. Und der Grund, warum man das mit Hilfe eines solchen Treibers macht – also das Löschen, das Wipen der Dateien – das liegt eben maßgeblich daran, dass man auf die Art und Weise Zugriff auf die Festplatte bekommt. Und ganz bestimmte Komponenten in Betriebssystemen, also in Windows, umgeht, die eigentlich sicherstellen sollen, dass zum Beispiel Dateien, die gerade benutzt werden, nicht unwiederbringlich gelöscht werden können.

00:06:30 Lars Wallenborn: Und das ist bei so einer destruktiven Software, die zum Ziel hat, den Computer auch quasi unbootbar zu machen – also die nicht nur vorhat alle Bilder und Dokumente vom Computer zu löschen, sondern auch das Betriebssystem soweit zu beschädigen, dass der Computer nicht mehr startet – das ist für so einen Wiper wichtig. Weil die Betriebssystem Dateien, während das Betriebssystem läuft, natürlich im Zugriffsmoment sind. Die werden gelesen vom Betriebssystem und könnten halt nicht überschrieben werden. Das war aber hier für diese Wiper-Familie wichtig, dass die auch überschrieben werden können. Deswegen war so ein Weg, um so einen Gerätetreiber, unumgänglich. Also irgendwie so was muss man in so einer Situation machen.

00:07:06 Christian Dietrich: Bei so einer Kampagne der Größenordnung, wie wir sie hier eben vorfinden, also über 30.000 infizierte Rechner, gibt es eine ganz interessante Komponente, nämlich wie das eigentliche Löschen dann gestartet wird. Und das passiert in der Regel über ein Trigger-Datum. Das heißt, die Malware versucht eine ganze Zeitlang zunächst mal sich in der Zielumgebung zu verbreiten. Also diese 30.000 Rechner die müssen halt erst mal infiziert werden, ohne dass sofort gelöscht wird. Man versucht also zu warten, bis möglichst viele Computer infiziert sind …

00:07:41 Lars Wallenborn: Wäre ja auch blöd sonst. Weil sonst gehen einzelne Computer schon kaputt und dann fällt einem auf, hier ist aber irgendwas schief. Und dann guckt sich das jemand an und stellt fest, da ist ja überall Malware drauf. Und dann kann man vielleicht noch etwas dagegen tun. Und das wollen die Akteure hier natürlich vermeiden.

00:07:53 Christian Dietrich: Ja, das ist so eine Art Strategie, um sozusagen den Schaden zu maximieren. Und diese Verteilung, dieses sogenannte Spreading, das Verteilen, das ging wohl hier vergleichsweise einfach, weil diese Office Infrastruktur eben eine relativ flache Netztopologie hatte. Das heißt, es ging dort vergleichsweise einfach, von einem infizierten Rechner zum nächsten zu springen, und den dann eben auch zu infizieren.

00:08:15 Lars Wallenborn: Ist übrigens auch eine riesen Gemeinsamkeit zwischen dieser Art von Operationen, also von so Wiping Angriffen und von Ransomware. Die will auch so lange unerkannt bleiben, bis sie alles infiziert hat, was sie infizieren kann und dann erst los schlagen.

00:08:30 Christian Dietrich: Schauen wir uns doch die Malware mal ein bisschen genauer an. Also ich glaube, es gibt eine sehr charakteristische Eigenschaft, nämlich die Struktur im Prinzip von der Malware und insbesondere eben ihrer Komponenten. Man muss sich das im Prinzip so vorstellen, dass es zwar eine initiale Datei, eine ausführbare Datei gibt, die sozusagen da ausgerollt wird. Und das ist letztlich ein sogenannter Dropper, der also dafür sorgt, die verschiedenen Komponenten zu entpacken und auf dem Zielsystem eben zur Ausführung zu bringen.

00:09:02 Lars Wallenborn: Und hier in dem Fall bestand dieser Dropper aus drei Unterkomponenten, sage ich mal, und die waren in sogenannten PE-Ressourcen gespeichert. Das ist ein Bereich in ausführbaren Dateien in Windows, und der ist extra dafür gedacht, Daten mit zu bringen. Und in dem Fall, wird dieser Bereich halt dafür verwendet, zusätzliche Komponenten mitzubringen. Und diese verschiedenen PE-Ressourcen – die haben auch Namen, auf die gehen wir auch gleich kurz ein – und diese drei Ressourcen, die jetzt hier waren, da enthielt eine die eigentliche Malware, also den Wiper. Eine andere enthielt so ein Modul, das war dafür da, den Akteur über den Fortschritt der Operation zu informieren. Und die dritte Komponente, das ist jetzt ein bisschen verwirrend, die enthält nochmal einen Dropper, der wieder zwei Komponenten enthält. Und das ist aus folgendem Grund so: Der Gerätetreiber, von dem wir eben geredet haben, den gibt es für 32-Bit Windows-Systeme und 64-Bit Windows-Systeme. Heutzutage sind alle Systeme eigentlich 64-Bit, aber damals war das noch nicht. Und diese dritte PE-Ressource, die enthält den Dropper nur halt für 64-Bit. Das heißt, da war dann auch der Wiper noch mal für 64-Bit Windows dabei, und dieses Statistik-Reporting Modul nochmal für 64-Bit drin. Und das ist halt einfach die simpelste Methode, den Gerätetreiber sowohl für 32-Bit als auch für 64-Bit Systeme mitzubringen, indem man halt alles zweimal da rein packt.

00:10:28 Christian Dietrich: Es gibt halt insgesamt eine relativ charakteristische Struktur, und das wird gleich nochmal so ein bisschen eine Rolle spielen. Man kann also zusammenfassend sagen: Was ist das eigentlich für eine Malware? Also es ist definitiv ein Wiper, der eben definitiv in der Lage ist oder maßgeblich zum Ziel hat, Dateien unwiederbringlich zu löschen und damit Systeme unbenutzbar zu machen. Und diese Malware hat eben auch einen Namen bekommen, in der Community, man bezeichnet sie eben als Shamoon. Dieser Begriff Shamoon kommt aus einem Dateipfad, dem sogenannten PDB Pfad der Datei. Shamoon selber hat jetzt selber glaube ich keine besondere Bedeutung, das ist glaube ich der arabische Name für Simon. Aber diese Bezeichnung hat sich eben so ein bisschen durchgesetzt für diese Malware, die wir hier gerade beschrieben haben. Vielleicht noch ganz kurz zur Info: Wir haben – wenn ihr mal nachvollziehen wollt, wie das so aussieht, so ein betroffenes System auf dem dieser Wiper eben aktiv wird –  wir haben ein Video dazu gemacht, das packen wir euch – oder den Link dazu – packen wir euch in die Shownotes.

00:11:25 Lars Wallenborn: Ist ja alles schön und gut Chris. Also ich habe mir eine ganz andere Malware angeguckt. Die ist noch nicht so alt, wie das was du uns gerade hier mitgebracht hast. Sondern spulen wir mal vor. Wir sind jetzt im November 2016. Das ist auch eine Wiper Malware, und die hat auch wahrscheinlich Entitäten in Saudi Arabien betroffen. Und ich würde jetzt mal gerne mit dir einfach gucken, ob es da irgendwie Gemeinsamkeiten gibt, oder ob das völlig verschiedene Sachen sind. Also ich beschreibe jetzt einfach mal diese Malware, die ich hier meine. Da sind drei Ressourcen drin, und die haben auch Namen, und die heißen: Also die erste Ressource heißt PKCS12 …

00:12:04 Christian Dietrich: Ja, das ist bei mir auch so.

00:12:05 Lars Wallenborn: Und die zweite Ressource heißt PKCS7, und die dritte heißt X.509.

00:12:12 Christian Dietrich: Ja, das sind ja alles so kryptographische Bezeichner, die man vielleicht kennt, aber die hier nicht als solche verwendet werden. Sondern die hier eigentlich mehr als Begleitumstand so irgendwie verwendet werden.

00:12:23 Lars Wallenborn: Die sollen wahrscheinlich technisch aussehen und nicht so auffallen oder so. Was aber hier ganz interessant ist, diese Bezeichner für Ressourcen Namen, das hört sich ja so an, als komme das häufiger mal vor. Aber wenn man entweder viel Erfahrung hat mit Malware oder wenn man einfach die Möglichkeit hat, sich ganz viel Malware auf einmal anzugucken, dann kann man halt feststellen, na ja, so häufig kommen diese Bezeichner gar nicht vor als Namen von Ressourcen. Also es ist jetzt quasi schon eine recht charakteristische Eigenschaft. Und dazu kommt jetzt hier in dem Fall noch…also Chris, ich beschreibe mal kurz was bei mir da drin ist. Also diese PKCS12 Ressource, da ist  ein Wiper drin, für 32-Bit Systeme, in der PKCS7 Ressource so ein Reporting Modul. Und in der X.509 Ressource ist noch ein Dropper drin, nur für 64-Bit Systeme.

00:13:04 Christian Dietrich: Ja, genau der gleiche Aufbau, den sehe ich eben auch bei Shamoon, also bei dem Vorfall 2012.

00:13:11 Lars Wallenborn: Gehen wir mal weiter so ein bisschen Dimensionen durch, die man da vergleichen kann. Also ich habe mir die Build Time Stamps angeguckt. Die passen nicht zu den anderen Time Stamps in der Malware die ich hier habe. Da glaube ich also, dass die gefälscht wurden von den Akteuren. Wie ist es bei dir, ist es auch fake?

00:13:27 Christian Dietrich: Na ich würde sagen bei Shamoon oder Shamoon-1, da sind die wahrscheinlich verlässlich. Also sagen wir mal so, sie passen auf jeden Fall zum zeitlichen Verlauf des gesamten Vorfalls.

00:13:39 Lars Wallenborn: So, die Ressourcen, die wir jetzt eben schon ein paar mal angesprochen haben, die haben nicht nur Namen, sondern auch so Sprachen, die da dran hängen. Und bei mir hat eine  Ressource die Sprache Arabic Jemen und die anderen Ressourcen von den Halos die da drin enthalten sind, haben die Spracheinstellung English, United States. Wie ist das bei dir?

00:13:58 Christian Dietrich: Da ist die Sprache einfach nicht gesetzt. Also im Prinzip kann man das auch einfach leer lassen, da hätten wir also quasi einen Unterschied.

00:14:05 Lars Wallenborn: Dann mal kurz, wie die Komponenten da drin sind. Die sind da nämlich nicht einfach im plain text bei mir drin, also einfach so, sondern die sind da noch verschlüsselt. Und zwar mit dem einfachsten Algorithmus den man sich so vorstellen kann. Das ist der sogenannte XOR-Algorithmus oder „Exklusives Oder“ zu deutsch. Und um den XOR-Algorithmus hier anwenden zu können, oder einen generellen kryptographischen Algorithmus anwenden zu können, braucht man einen Schlüssel. Und das ist hier jetzt ein fester Schlüssel. Für jede Ressource ein anderer Schlüssel und die sind verschieden lang. Wie ist das bei dir?

00:14:37 Christian Dietrich: Ja, das ist ein bisschen unterschiedlich bei mir. Es ist ebenfalls XOR als Verfahren, die Schlüssel sind aber alle 4 Bit lang. Also eine feste Länge. Aber es ist auf jeden Fall das gleiche Verfahren.

00:14:49 Lars Wallenborn: Nur kürzere Schlüssel, sage ich mal.

00:14:51 Christian Dietrich: Ja.

00:14:52 Lars Wallenborn: Dann gibt es bei mir noch was. Malware macht das manchmal, die enthält so Zeichenketten und die sind bei mir obfuskiert, also selber nochmal verschlüsselt. Also auch mit dem XOR-Algorithmus und einem Schlüssel, der für jeden String anders ist. Wie ist es bei dir?

00:15:05 Christian Dietrich: String obfuscation sehe ich bei mir gar nicht. Also da sind die Strings nicht obfuskiert gewesen. Wie sieht es denn bei dir mit der Persistenz-Technik aus? Also wie versucht die Malware sich  auf dem System einzunisten und dafür zu sorgen, dass sie beim nächsten Boot gestartet wird?

00:15:19 Lars Wallenborn: Dafür könnt ihr euch übrigens auch eine andere Podcast Folge anhören, die letzte die wir gemacht haben. Bei mir wird ein Windows-Service erstellt und der startet dann einfach, wenn das System startet.

00:15:28 Christian Dietrich: Ja, genau das gleiche habe ich auch, also einen Windows Dienst.

00:15:30 Lars Wallenborn: Genau. Dann habe ich noch, dass dieses Wiper-Modul erst gestartet wird, wenn ein bestimmtes Datum eintritt. Soweit ich das verstanden habe, ist das bei dir auch so?

00:15:38 Christian Dietrich: Ja, genau.

00:15:40 Lars Wallenborn: Und bei mir gibt es einen EldoS-Treiber, der wird verwendet um die Dateien zu überschreiben. Also optional gibt es bei mir auch noch die Möglichkeit, die Windows API zu verwenden, aber das ist quasi nur noch oben drauf. Bei mir wird noch ein Bild verwendet um die Dateien zu überschreiben, bevor sie gelöscht werden. Wenn ich mich recht erinnere, war das bei dir auch so.

00:16:00 Christian Dietrich: Das ist auch da so, genau. Es handelt sich aber nicht um das gleiche Bild bei dir. Also im Fall von Shamoon, oder Shamoon-1, war es eben eine brennende US Flagge. Und bei dir?

00:16:09 Lars Wallenborn: Da ist das das Bild von Alan Kurdi, das ist damals auch um die Welt gegangen. Das war so ein kleiner Junge, der tot angespült wurde, so im Kontext der Flüchtlingskrise. Aber ich sage mal beides sind Bilder, die politisch aufgeladen sind.

00:16:22 Christian Dietrich: Auf jeden Fall.

00:16:23 Lars Wallenborn: So dieses Modul, das verwendet wird, um den Akteur über den Fortschritt der Kampagne zu informieren, das basiert auf http, also so wie Browser auch. Und die URL allerdings, die dafür verwendet wird, die hat als Namen, als Servernamen, die Zeichenkette „Server“. Das heißt also, es ist gut möglich, dass das nicht funktioniert hat – außer in dem Netzwerk, in dem der Wiper oder diese ganze Toolchain zum Einsatz gekommen ist, gibt es einen Computer der „Server“ heißt. Wie ist das bei dir?

00:16:53 Christian Dietrich: Ja, das könnte sogar theoretisch sein, weiß man nicht genau. Bei mir ist es ähnlich, auch http als Command and Control Protokoll oder Trägerprotokoll für Command and Control, aber dann ist eine interne, also eine RFC 1918 IP-Adresse verwendet worden. Also auch nur eine IP-Adresse, die in einem Netz erreichbar ist und nicht über das Internet geroutet wird. Ja, könnte auch tatsächlich irgendwo vielleicht eine Gemeinsamkeit sein. Wenn auch im Detail vielleicht etwas anders ausgeprägt.

00:17:20 Lars Wallenborn: Ja, und dann vielleicht noch kurz, ich habe auch recherchiert, diese Malware, die ich mir angeguckt habe, wo die über öffentliche Quellen zugeordnet wird oder auf was für Zielorganisationen die es abgesehen hatte. Da habe ich hauptsächlich gefunden, dass Saudi Arabien im Fokus stand.

00:17:34 Christian Dietrich: Ja, das haben wir ja hier auch. Also Saudi Aramco, eben ja definitiv auch höchst wahrscheinlich betroffen von der Shamoon Malware. Und es gibt eben einen weiteren Kandidaten oder eine weitere potenzielle Zielorganisation von Shamoon-1, das wäre RasGas, das ist ein Gasförderunternehmen aus Katar.

00:17:53 Lars Wallenborn: Genau, das war jetzt ein ziemlicher Ritt, durch so verschiedene Dimensionen, die man vergleichen kann. Das ist nicht so wichtig, dass da jetzt jeder bis ins Detail mitgekommen ist. Die Zusammenfassung davon ist aber schon: Es gibt einige Gemeinsamkeiten, und da gibt es auch sehr starke Gemeinsamkeiten. Also gerade diese Struktur mit den PE Ressourcen und so was wie, dass eine Bild Datei mit einem politischen Kontext verwendet wird, um die Dateien zu überschreiben, würde ich schon als starke Gemeinsamkeiten werten. Es gab aber auch ein paar Unterschiede. Also wir hatten gesehen, dass die Verschlüsselungsalgorithmen – also die Algorithmen waren gleich – aber das Schlüsselmaterial hat sich verändert. Und da gab es auch schon ein paar Unterschiede auch.

00:18:29 Christian Dietrich: Und jetzt gibt es einen ganz coolen Aspekt, wenn man sich mit so älteren Fällen beschäftigt, wie zum Beispiel hier mit Shamoon, das eben vor neun Jahren zugeschlagen hat. Denn natürlich entwickeln sich die technischen Analysemethoden weiter. Wir kennen das irgendwie so aus den Krimis, die DNA-Analyse aus der klassischen Forensik beispielsweise. Die ist natürlich irgendwann mal erfunden worden, und dann konnte man eben retrospektiv noch Verbrechen aufklären, indem man sie eben angewendet hat. Und so langsam, wenn auch nicht ganz so gravierend, kommen wir in der digitalen Forensik auch in so einen Bereich. Und jetzt hat sich eben in den letzten Jahren, als eine weitere Analysemöglichkeit, hier die Analyse der Rich-Header von PE-Dateien etabliert. Das war 2012 bei weitem noch nicht so in der Breite bekannt, gab es damals sicherlich auch schon, aber es war eben nicht so bekannt.  Und wenn man das jetzt hier mal anwendet, dann sieht man eben, dass höchstwahrscheinlich in beiden Fällen auch die gleiche Build Environment, also quasi die gleiche Umgebung zum Kompilieren und Linken des Quellcodes verwendet wurde.

00:19:34 Lars Wallenborn: Und das ist insoweit schon sehr bezeichnend, weil das Bild Environment ist wahrscheinlich von 2010 gewesen. Das ergibt ja noch Sinn, dass man 2012 eine Malware schreibt, die darin geschrieben ist. Nur 2016 ist echt schon sehr viel später. Also ich würde mir nicht vorstellen, dass irgend jemand eine Malware entwickelt und sich dann entscheidet, ich installiere mir jetzt ein Bild Environment, das fünf Jahre alt ist oder so. Das ist sehr viel plausibler, dass da jemand das gleiche Environment einfach weiter verwendet und nie upgedatet hat, damit es noch funktioniert. So wie man das von sich selber halt auch kennt. Und das würde auch einen großen Teil der, in Anführungszeichen, Unterschiede erklären. Weil die Unterschiede könnte man auch sehen als Weiterentwicklung. Also in der Shamoon Malware von 2012 wurde der XOR-Algorithmus mit einem 4 Bit Schlüssel verwendet. In der von 2016 auch ein XOR-Algorithmus, aber mit längeren Schlüsseln, die auch verschieden lang sind, um es irgendwie schwerer zu machen. Und bei vielen der anderen Unterschiede könnte es sich ähnlich verhalten, dass da einfach etwas weiter entwickelt wurde.

00:20:33 Christian Dietrich: Genau. Aus technischer Perspektive sind also die beiden Samples in jedem Fall verwandt. Soviel können wir, glaube ich, an der Stelle festhalten.

00:20:40 Lars Wallenborn: Aber da steht ja jetzt ein riesen Elefant im Raum. Es kann ja immer sein, dass nur jemand so tut, als wäre er Shamoon. Also jemand ist hingegangen, hat diese Rich Header Analyse gemacht, hat herausgefunden, was für ein Bild Environment verwendet wurde, hat sich das eingerichtet und die Malware dann nachimplemetiert. Und aus einer technischen Perspektive kann das einfach immer sein. Im schlimmsten Fall kann man das auch technisch quasi nicht auseinander halten. Da muss der Akteur, der eine sogenannte False Flag Operation jetzt hier durchführt, schon sehr gut sein. Also der muss ja den Akteur, der da simuliert werden soll, sehr, sehr gut kennen und dann auch die Fähigkeit haben, das sehr gut nachzumachen. Aber wie gesagt, das kann einfach immer sein.

00:21:31 Christian Dietrich: Ja, da stimme ich dir zu. Insbesondere wenn wir uns hier maßgeblich auf die Malware Analyse beziehen. Ja, also wir versuchen jetzt vielleicht für den Moment mal so ein paar andere Beobachtungsmöglichkeiten, die vielleicht Nachrichtendienste haben, zu ignorieren. Aber wenn wir wirklich nur die Malware Analyse in den Fokus stellen, dann stimme ich dir absolut zu.

00:21:48 Lars Wallenborn: Man muss aber auch noch sagen, aus einer reinen Malware Analyse Perspektive wäre das hier eine sehr, sehr gute False Flag Operation, wenn es wirklich eine ist. Weil ja nicht nur die Malware genommen wurde und die irgendwie leicht manipuliert wurde, und weiß ich nicht, der Servername ausgetauscht wurde oder so, sondern die Malware wurde ja sogar noch weiter entwickelt, und auch auf eine gewissermaßen glaubhafte Art und Weise. Und das kann natürlich sein, es ist nur vielleicht ein bisschen unplausibel. Also hier würde ich jetzt vielleicht sogar die Unterschiede, die wir eben festgestellt haben, als Argument in den Ring führen, zu sagen, das ist keine False Flag Operation. Weil es sich halt so gut weiterentwickelt hat.

00:22:25 Christian Dietrich: Ja, es ist nicht nur einfach gepatched sozusagen, ja, Kleinigkeiten ausgetauscht, sondern wir haben ja durchaus ein paar Unterschiede festgestellt. Und du sagst, das ist die Konsequenz aus einer Entwicklung, die hier stattgefunden hat. Eine Weiterentwicklung.

00:22:38 Lars Wallenborn: Ja, ich würde sagen, ich nenne jetzt einfach die Malware, die ich eben hier vertreten habe, Shamoon-2. Und ich würde sagen, Shamoon-1 und Shamoon-2 sind technisch sehr, sehr ähnlich, und die Zielorganisationen sind vergleichbar. Und es sind beides Wiper Malware Komponenten.

00:22:52 Christian Dietrich: Da wollen wir uns doch jetzt einmal so ein bisschen mit der Attribution beschäftigen. Man kann ja die Attribution  mindestens in zwei Phasen aufteilen. Nämlich einmal zu versuchen, ähnliche Vorfälle zu finden – also das was wir gerade gemacht haben. Wir haben also den Vorfall von 2012, also Shamoon-1, in  Beziehung gesetzt  zu dem Vorfall von 2016, also Shamoon-2. Das könnte man vielleicht auch  als Clustering bezeichnen. Und was man darüber hinaus vielleicht noch machen möchte, ist natürlich, diese Vorfälle Akteuren zu zuschreiben und diese Akteure irgendwie Personen oder Echtwelt-Institionen zuzuordnen.

00:23:31 Lars Wallenborn: Und das Coole an der Situation in der wir jetzt sind, wo wir ja schon eine Beziehung zwischen Shamoon-1 und Shamoon-2 etabliert haben: Wenn wir einen von den beiden einer Echtwelt-Institution zum Beispiel zuordnen könnten, dann hätten wir gewissermaßen den zweiten auch schon zumindest zu dieser Echtwelt-Institution verbunden. Ja, man kann sich das so vorstellen, wie in so einer Krimiserie oder so. Ein Mörder-Board, also so ein großes Pin-Board mit so Pins drauf und zwischen den Pins so kleinen Fäden. Und die sagen wenn was in Beziehung steht. Da sind jetzt für Shamoon-1 und Shamoon-2 da so kleine Pins drin, die sind mit einem roten Faden verbunden. Und wenn wir jetzt Shamoon-1 oder 2 in Verbindung bringen mit irgendeinem Staat zum Beispiel, dann hätte Shamoon-2 zumindest auch eine Beziehung wahrscheinlich.

00:24:13 Christian Dietrich: Da war es wieder, das Mörder-Board von dir aus Folge Zwei. Dann ist die Sache ja relativ einfach, denn bei Shamoon-1 gab es ja ein Bekennerschreiben, man könnte also meinen, Attribution ist gelöst. Also da gab es eine Gruppe, die sich selbst als Cutting Sword of Justice bezeichnet hat…

00:24:28 Lars Wallenborn: Das schneidende Schwert der Gerechtigkeit.

00:24:30 Christian Dietrich: Mhm. Und die eben auch auf Pastebin – verlinken wir euch auch in den Shownotes, wenn ihr da mal die Primärquelle konsultieren wollt – zugegeben hat oder behauptet hat, dass sie eben hinter diesem Angriff irgendwie steckt. Kurze Zeit später gab es auch noch eine zweite Gruppe, die Arab Youth Group, also die arabische Jugendgruppe, die sich eben auch dazu bekannt hat. Aber darum soll es  hier eigentlich gar nicht so primär gehen. Denn was wir ja eigentlich wollen, aus der Perspektive der Attribution, ist hier sozusagen organisch einen Akteur zu attributieren und den eben potenziell auf Echtwelt-Institutionen oder eben Personen irgendwie zurück zu führen. Und ich glaube, wir können an der Stelle schon vorweg nehmen, dass wir  zumindest eben keine öffentlichen Anhaltspunkte gefunden haben – nicht nur wir nicht, sondern ich glaube auch zumindest keiner so im privat sector – die eben einen belastbaren Bezug zwischen der Malware und einem staatlichen Akteur oder einer Echtwelt-Institution oder eben gar einer Person zulassen.

00:25:35 Lars Wallenborn: Außer diese eine Reporterin bei der New York Times.

00:25:39 Christian Dietrich: Mhm. Die hat nämlich zwei ehemalige Regierungsmitarbeiter aufgetrieben, also Intelligence Officials aus den USA, die eben gesagt haben, der Akteur hinter diesem Vorfall, also hinter Shamoon-1 insbesondere eben, sei aus dem Iran, oder würde Interessen des Irans umsetzen. Dafür sind aber keine spezifischen Beweise öffentlich gemacht worden. Das heißt, das muss man im Prinzip an der Stelle erst mal so hinnehmen. Wir können an dieser Stelle vielleicht mal so ein bisschen versuchen, zu beleuchten, was denn da möglicherweise im Hintergrund analytisch passiert sein könnte.

00:26:18 Lars Wallenborn: Weil Nachrichtendienste, also Intelligence Officials, hast du ja gesagt, die haben halt sehr viel mehr Möglichkeiten als Institutionen im privaten Sektor oder Privatpersonen.

00:26:26 Christian Dietrich: Genau. Man könnte zum Beispiel hier vermuten – das wissen wir nicht – dass hier auch so eine Metadaten Analyse von Kommunikationsströmen beispielsweise irgendwie stattfand. Das heißt, man könnte sich zum Beispiel vorstellen, wenn man Kommunikation, also Command and Control Kommunikation, die im Rahmen der Operation sowieso angefallen ist, wenn man die also irgendwie beobachten und dann irgendwie zuordnen kann, also Personen oder Organisationen zuordnen kann, dann kann darüber natürlich auch eine Attribution stattfinden. Oder man verwendet typische nachrichtendienstliche Methoden. Also so was wie menschliche Quellen…

00:27:01 Lars Wallenborn: Oder auch ganz allgemeine solche nachrichtendienstliche Methoden. Also man spricht da auch manchmal von HUMINT. Das ist, wenn Menschen Menschen ausspionieren oder Menschen generell irgendwie spionieren. Das kann Undercover Work sein und all dieser ganze Themen Komplex. Und was bestimmt auch hier passiert ist, ist, dass eine technische Analyse durchgeführt wurde, so wie wir sie eben auch so ein bisschen gemacht haben. Und natürlich noch viel mehr davon. Viel mehr Zeit investiert, viel mehr Malware analysiert und vielleicht auch mehrere solche Angriffe dann auch geclustert als nur zwei.

00:27:31 Christian Dietrich: Ja, und man kann natürlich sich auch immer die Frage stellen, cui bono? Also wer profitiert hier eigentlich davon? Und dafür lässt sich eben so ein bisschen das politische Feld hier beobachten, das heißt also insbesondere die Beziehungen zwischen den USA und dem Iran. Möglicherweise eben auch Saudi Arabien. Und da ist eben ganz klar die Abhängigkeit der USA vom Öl ein Aspekt. Vielleicht noch ein bisschen als Kontext: Also die USA und Iran unterhalten keine diplomatischen Beziehungen, also zumindest nicht seit den achtziger Jahren, glaube ich. Und im Juli 2012 hat sich die Situation so ein bisschen verschärft. Also auch die EU hat ein Öl-Embargo verhängt gegen den Iran. Also die EU hat kein Öl mehr aus dem Iran importiert. Das sind wohl etwa 20 Prozent der Exporte des Irans gewesen, und dieses Embargo ist am 1. Juli 2012 in Kraft getreten und Shamoon-1 fand ja eben im August 2012 statt.

00:28:28 Lars Wallenborn: Und man könnte sich vielleicht jetzt einfach ganz platt vorstellen, ein iranischer Akteur hat sich gedacht: Jetzt hat die EU Importverbote für Öl erlassen. Wenn ich jetzt dafür sorge, dass generell der Ölpreis steigt oder das Öl-Angebot sinkt, indem man Saudi Aramco zumindest für eine Weile handlungsunfähig macht, könnte dieses Embargo vielleicht wieder aufgelöst werden oder vielleicht wird auch noch Öl aus dem Iran gekauft. Aber ist vielleicht auch eine sehr einfache Denkweise.

00:28:53 Christian Dietrich: Wenn wir an der Stelle jetzt so ein bisschen resümieren, dann können wir ja sagen, natürlich haben wir hier primär auf die Malware geschaut. Wir haben also eine technische Analyse der Malware vorgenommen. Aber jetzt hier kürzlich auch versucht mal aufzuzeigen, was es für andere Analysemethoden eben gibt, die möglicherweise eben völlig unabhängig sogar von der Malware sind. Oder vielleicht natürlich ein bisschen in Bezug stehen, so was wie Kommunikationsströme analysieren, kann man ja doch über Command and Control mit einer Malware in Verbindung bringen. Aber eben zum Beispiel diese nachrichtendienstlichen Methoden, die du ja angesprochen hast, die würde da ja rausfallen. Oder eben eine Analyse des politikwissenschaftlichen Spektrums wäre da sicherlich auch nicht mit von erfasst. Und das ist eben ganz interessant, weil eben im Rahmen der Attribution es sicherlich sinnvoll ist, in verschiedenen Dimensionen zu denken. Da gibt es auch ein ganz interessantes Framework was Timo Steffens vorgestellt hat, in seinem Buch zur Attribution von maßgeblich gezielten Angriffen oder APT Akteuren, das eben eine ganze Reihe dieser Dimensionen irgendwie umfasst und die auch mal auflistet. Und so ein bisschen zeigt, wie man da auch vorgehen kann.

00:30:02 Christian Dietrich: Ich würde gerne an der Stelle einmal festhalten, dass die öffentliche Attribution in meiner Wahrnehmung heute anders stattfindet als damals. Also damals heißt jetzt 2012. Wir haben in der Zwischenzeit eine ganze Reihe an öffentlichen Attributionen gesehen, das heißt, ich denke da zum Beispiel an die Indictments, also an die Anklagen in den USA, wo eben APT-Akteure öffentlich in solchen Indictments beschrieben wurden. Und da sieht man eben, dass das 2012 noch nicht so war. Also außer irgendwie zwei ehemaligen Regierungsoffiziellen, die sich da irgendwie unter dem Deckmantel der Anonymität irgendwie zu ausgelassen haben, hat man da eigentlich nicht wirklich belastbare Informationen preisgegeben. Und ich glaube, das ist definitiv eine Veränderung, eine Weiterentwicklung die da stattgefunden hat.

00:30:53 Lars Wallenborn: Gut, wollen wir dann zum Fazit übergehen? Vielleicht als erstes – weil das ja immer ganz interessant ist, wenn man sich das fragt – was kann man tun, um sich gegen so was zu wehren. Da kann man anschauen, was hier vermutlich falsch gelaufen ist – zumindest bei dem ersten Shamoon Angriff von 2012. Weil da hat nämlich der Standort von Saudi Aramco in Houston wohl Anomalien festgestellt. Also die haben Indikatoren dafür gefunden, dass vielleicht ein Angriff stattfindet oder dass da vielleicht eine Malware aktiv ist. Aber die Info hat es dann irgendwie nicht an die Stellen geschafft, die dann auch die Entscheidungen und die Gegenmaßnahmen hätten einleiten können. Man hat sich halt so gedacht, das lohnt sich gar nicht da ein Issue aufzumachen. Weil die Entscheider, die da was hätten gegen tun können, die sind wahrscheinlich gerade mit dem Ramadan beschäftigt. Das war gerade die letzte Woche vor dem Fest des Fastenbrechens oder umgangssprachlich Zuckerfest. Deswegen haben sich die Leute am Standort Houston dann gedacht, na ja, das ist wahrscheinlich nur eine Kleinigkeit, die wollen wir da gar nicht stören, Ja, hätten sie mal gemacht, vielleicht hätte dieser Angriff dann verhindert werden können.

00:31:53 Christian Dietrich: Ja, ist schon wieder ein interessanter Aspekt, dieses Timing. Also du hast gerade gesagt, der Ramadan hat eine Rolle gespielt und dass eben ganz viele Mitarbeiter im Urlaub waren. Also vielleicht vergleichbar in der christlichen Religion oder in christlichen Kulturkreisen mit der Woche vor Weihnachten oder nach Weihnachten oder so.

00:32:10 Christian Dietrich: Um Ostern herum. Die Frage des Timings haben wir ja bei einem anderen Angriff, in Folge Eins zum Bankraub von Bangladesch ja auch schon mal im Detail irgendwie ausgearbeitet. Also auch vielleicht da noch mal rein hören, wen das interessiert.

00:32:21 Lars Wallenborn: Und der zweite Fazitpunkt, den werde ich auch nochmal erwähnen, obwohl wir da schon ein bisschen drauf Wert gelegt haben, nämlich dass wir hier den technischen Analyseschritt nur durchgeführt haben von so einer Attribution und dabei aber über technische Wege auch schon ein Clustering durchführen konnten. Also wir konnten zwei völlig unabhängige Vorfälle mit zwei erst mal unabhängigen Malware Familien in Verbindung bringen, indem wir die konkrete Malware, die wir hatten, analysiert haben und da dann Verbindungen oder Gemeinsamkeiten gefunden haben. Und dieses Clustering ist notwendige Voraussetzung, meiner Meinung nach, um überhaupt Attribution durchzuführen. Also ich finde, niemand wird sagen, er kann was attributen, indem er nur eine einzige Malware-Datei hat. Also es ist immer wichtig, in Kontext setzen zu können. Und das halt besonders einfach, wenn man wie hier, Malware Samples finden kann, die eine Fortentwicklung davon sind oder Vorgänger davon sind.

00:33:17 Christian Dietrich: Ich finde einen Aspekt hier noch nennenswert, nämlich zur Einordnung von Shamoon. In meinen Augen sind destruktive Angriffe äußerst selten. Also wenn man mal versucht, sich so ein bisschen dran zu erinnern, was wir vielleicht so in den letzten zehn Jahren überhaupt an destruktiven Angriffen hatten, dann ist das sicherlich Stuxnet im Jahr 2010, Shamoon 2012, dann vielleicht das Sony Pictures Entertainment 2014, Black Energy 2015, Shamoon-2 dann 2016, NotPetya 2017. Aber daran sieht man schon, Spionage und kriminell und finanziell motivierte Vorfälle passieren eben um Größenordnungen häufiger. Und das macht destruktive Angriffe natürlich ganz interessant. Die sind also deutlich seltener.

00:34:06 Lars Wallenborn: Also man könnte sagen, man kann die destruktiven Angriffe die in den letzten zehn Jahren stattgefunden haben, oder sogar mehr, an einer oder höchstens zwei Händen abzählen. Und das macht halt jeden destruktiven Angriff besonders und deswegen haben wir uns auch entschieden, das in dieser Folge mal ein bisschen genauer zu beleuchten. Schön, dass ihr bis hierher zugehört habt und wenn es euch gefallen hat, dann freuen wir uns natürlich immer über eine gute Bewertung in der Podcast-App eurer Wahl oder einem Follow auf Twitter unter @armchairgators.

00:34:35 Christian Dietrich: Alle unsere Folgen findet ihr auf unserer Website armchairinvestigators.de oder in der Podcast-App eurer Wahl.

00:34:44 Lars Wallenborn: Bis zum nächsten mal. Ciao.

00:34:46 Christian Dietrich: Bis zum nächsten mal. Tschüss.

Shownotes