Seite 2: Politisch motivierte Attacke mit einer Menge Fallout

Inhaltsverzeichnis

Schaut man sich den Infektionsweg des neuen Trojaners an, wird deutlich, dass der Schadcode um einiges raffinierter ist als die ursprüngliche Goldeneye-Familie. Nicht nur, dass die Entwickler die wurmartige Verbreitung über die SMB1-Lücke der NSA (ETERNALBLUE) von WannaCry übernommen haben, sie haben außerdem weitere clevere Verbreitungsmethoden eingebaut.

Im krassen Unterschied dazu sind allerdings die Bezahlmöglichkeiten für Opfer im Gegensatz zu Petya ziemlich verkümmert. Eine fest-eingebaute Bitcoin-Adresse und einzige Mail-Adresse als Kontakt zu den Erpressern wirkt gegenüber dem ausgeklügelten Web-Interface von Goldeneye gradezu stümperhaft. Was unter anderem dazu geführt hat, dass der Zahlungsweg zu den Angreifern sehr schnell kastriert wurde.

Das alles legt die Vermutung nahe, dass es sich um einen politisch-motivierten Angriff handelt, der Chaos stiften will und dass sich die NotPetya-Angreifer nur als Petya-Erpresser ausgeben. Sie nutzen den Vorwand der Erpressung also als Plausible Deniability, um den Verdacht von sich abzulenken. Ob es sich bei den Angreifern um staatliche Hacker handelt, ist allerdings bei weitem nicht klar. Denkbar sind auch andere Akteure, die zwar politisch motiviert sind, aber dennoch unabhängig von staatlichen Regierungen agieren.

Neben Organisationen in der Ukraine haben die Angreifer dabei auch viele große Firmen in Deutschland, dem Vereinigten Königreich und den USA in Mitleidenschaft gezogen. Es ist durchaus denkbar. dass dieser Kollateralschaden willentlich in Kauf genommen wurde oder sogar Teil des Plans für den Ausbruch war.

Ein sehr ausgeklügelter Infektionsweg

Sicherheitsforscher von McAfee haben die Verbreitung des Trojaners analysiert. Dabei fällt auf, wie raffiniert der Trojaner agiert. Einmal auf dem System des Opfers angekommen, scannt die Malware das den Rechner unmittelbar umgebende Netz. Dabei geht sie im Gegensatz zu WannaCry sehr methodisch vor. Zuerst versucht NotPetya, einen Domain Server zu finden. Von diesem sammelt der Schadcode dann eine Liste von Rechnern im Netz – diese werden dann gezielt infiziert. Das erzeugt viel weniger auffälligen Traffic im Netzwerk als das wahllose Paket-Herumgesprühe von Trojanern wie WannaCry oder Conficker.

Infektionen einzelner Rechner werden zuerst einmal wie bei WannaCry über den ETERNALBLUE-Exploit probiert. Microsoft hat diese Lücke allerdings vor einiger Zeit in allen Windows-Versionen ab XP geschlossen. Die Wahrscheinlichkeit, diese Lücke jetzt noch auszunutzen, ist also recht klein. Deshalb hat NotPetya noch weitere Angriffe in petto.

Unter anderem versucht der Trojaner sich auf die versteckten ADMIN$-Verzeichnisse anderer Rechner zu kopieren und sich dann per PsExec auszuführen – wozu Admin-Rechte in der Domäne benötigt werden. Schlägt das fehl hat NotPetya noch die Möglichkeit, sich direkt über die Windows Management Instrumentation Command-line (WMIC) auf dem Zielrechner zu starten. Um an die benötigten Rechte zu kommen, bringt NotPetya ein Passwort-Dump-Tool mit, das Werkzeugen wie Mimikatz und LSADump ähnelt. Damit versucht der Trojaner, Windows-Credentials im Netz zu erbeuten. Ein solches Vorgehen sieht man normalerweise eher bei raffinierten und sehr gezielten (APT-ähnlichen) Angriffen auf sehr begehrte Ziele. Ähnliche Methoden kamen etwa bei Angriffen im Parlamentsnetz des deutschen Bundestages zur Anwendung.

Verschlüsselung der Daten und des MBR

Nach einer bestimmten Zeit (standardmäßig sind das 40 Minuten) starten sich infizierte Rechner neu. Nun verrichtet der Trojaner sein zerstörerisches Werk. Zuerst wird ein gefälschter CHKDSK-Bildschirm angezeigt, genau wie bei Petya. Im Gegensatz zu seinem Vorgänger verschlüsselt NotPetya die Daten auf der Systemplatte und den Master Boot Record (MBR) des Systems allerdings nicht mit dem SALSA20-Algorithmus, sondern mit AES-128 und RSA. Die Liste der verschlüsselten Dateien ist, im Gegensatz zu vielen anderen Kryptotrojanern, relativ kurz. Darunter sind komprimierte Archive, PDF-Dokumente, Office-Dateien, Mail-Ordner, Virtuelle Maschinen und Backup-Dateien.

Infektion und Verschlüsselung durch NotPetya funktioniert sowohl auf 32- als auch auf 64-Bit-Windows-Rechnern. Nachdem der Trojaner seine zerstörerische Arbeit durchgeführt hat, versucht er, seine Spuren zu verwischen. Command-and-Control-Server werden von dem Trojaner anscheinend nicht verwendet. Die Malware scheint einen Kill Switch zu besitzen: Ist eine bestimmte Datei auf einem System vorhanden, wird dieses nicht infiziert.