Am 23. Dezember 2015 hatten fast eineinhalb Millionen Einwohner in der ukrainischen Region Iwano-Frankiwsk für mehrere Stunden keinen Strom mehr. Laut den ukrainischen Medien news media outlet TSN waren Hacker für den Stromausfall verantwortlich. Die von ESET analysierten Erkennungsdaten zeigen, dass dies kein Einzelfall ist, sondern auch andere Energieunternehmen in der Ukraine zur selben Zeit von Cyberkriminellen attackiert wurden. Darüber hinaus fanden unsere ESET-Spezialisten heraus, dass die Angreifer eine Malware-Familie nutzten, die schon seit längerem im Visier der Forscher steht: BlackEnergy. Vor allem die BlackEnergy Backdoor wurde in der Vergangenheit genutzt, um eine zerstörerische Komponente einzuschleusen, die zur Bootunfähigkeit der betroffenen Rechner führt.

Zufällige Ereignisse?

Der BlackEnergy-Trojaner wurde in den vergangenen Jahren für verschiedene Zwecke eingesetzt. Auf der Virus Bulletin Konferenz 2014 gab es Diskussionen über eine Reihe an Cyber-Spionage-Angriffen gegen hochrangige, regierungsnahe Ziele in der Ukraine. Die Hintermänner nutzten zahlreiche Verbreitungsmechanismen zur Infizierung ihrer Opfer, unter anderem die Ausnutzung der berühmtberüchtigten PowerPoint Zero-Day-Schwachstelle CVE-2014-4114. Wenngleich die Hauptziele der Attacken aus 2014 reine Spionagezwecke vermuten ließen, verdichtete sich bei der Entdeckung des BlackEnergy-Trojaners, der SCADA-Industriesteuerungssysteme befallen konnte, eher die Annahme, dass die Cyberbande auf etwas „Höheres“ aus ist. Bei den jüngsten Angriffen gegen ukrainische Energielieferanten wurde eine KillDisk heruntergeladen und auf dem System ausgeführt, das zuvor mit dem BlackEnergy-Trojaner infiziert worden war. intermä

Von der Verbindung zwischen BlackEnergy und KillDisk berichtete erstmals die CERT-UA im vergangenen November. Bei diesem Vorfall wurden verschiedene Medienunternehmen im Zeitraum der ukrainischen Kommunalwahlen 2015 attackiert und in Folge eine große Anzahl an Videos und Dokumenten zerstört.

Ein Feldzug gegen Stromversorgungsunternehmen

Derzeit wissen wir von mehreren Stromversorgungsunternehmen (zusätzlich zu dem in den Medien verbreiteten Fall von Prykarpattya Oblenergo), die in der Ukraine zum Ziel von Internetkriminellen geworden sind. Wir können beweisen, dass die BlackEnergy Backdoor gegen weitere Unternehmen eingesetzt und die zerstörerische KillDisk-Komponente in den letzten Fällen während der vergangenen Weihnachtszeit verwendet wurde. Darüber hinaus entdeckte man BlackEnergy bei Stromunternehmen schon weitaus früher im Jahr 2015, allerdings gibt es keine Anzeichen für den Einsatz der KillDisk. Möglicherweise waren die Cyberkriminellen hier noch in der Vorbereitungsphase des Angriffs.

Die Cyberbande infizierte die Rechner über Microsoft Office Dateien, die schädliche Makros enthielten. Sie nutzte aber auch andere gängige Methoden, die 2015 von und anderen kriminellen Gruppen eingesetzt wurden.

Das Angriffsszenario ist recht einfach: Das Opfer erhielt eine Spear-Phishing-Mail mit einem manipulierten Dokument im Anhang. Die ukrainische Sicherheitsfirma CyS Centrum veröffentlichte zwei Screenshots der in der BlackEnergy-Kampagne verwendeten E-Mails. Der Angreifer gab vor, zu Rada, dem Ukrainischen Parlament, zu gehören. Das Dokument im Anhang selbst enthielt einen Text, der das Opfer zu überreden versuchte, das darin befindliche Makro auszuführen. Ein gutes Beispiel dafür, dass anstatt auf die Ausnutzung von Schwachstellen im System häufig auf Social Engineering Methoden gesetzt wird. Bei erfolgreichem Täuschungsmanöver waren die Opfer am Ende mit BlackEnergy Lite infiziert.

BlackEnergy

Wie bereits in unserem Virus Bulletin-Vortrag erklärt, ist der BlackEengry-Trojaner modular aufgebaut und verwendet verschiedene herunterladbare Komponenten, um diverse Aufgaben auszuführen. Im Fall des letzten Angriffs in der Ukraine wurde die Malware Win32/KillDisk auf dem befallenen System gefunden. Sie ist nicht nur imstande, Systemdateien zu löschen, wodurch das System nicht mehr gestartet werden kann – eine typische Funktionsweise solcher zerstörerischen Trojaner – sondern die bei den Stromversorgungsunternehmen entdeckte KillDisk-Version enthält auch einige zusätzliche Mittel, um Industriesysteme gezielt zu sabotieren.

Zuerst war es möglich, einen bestimmten Zeitverzug festzulegen, wonach die Payload aktiviert wurde. Anschließend versuchte der Schädling, neben der Ausführung der eigentlichen Funktionsweise von KillDisk, zwei nicht standardisierte Prozesse zu löschen: komut.exe und sec_service.exe. Letzterer könnte zu einer Software namens ELTIMA Serial to Ethernet Connector oder zu ASEM Ubiquity gehören, einer Plattform, die normalerweise in Industriekontrollsystemen eingesetzt wird. Befindet sich dieser Prozess auf dem angegriffenen System, beendet der Trojaner dieses nicht nur, sondern überschreibt die entsprechenden ausführbaren Dateien auf der Festplatte mit zufälligen Daten, um die Wiederherstellung des Systems noch schwieriger zu machen.

Fazit

Zerstörerische Malware ist kein neues Phänomen. Wenngleich die ersten Viren dieser Art zumeist zum Scherz eine zerstörerische Funktionsweise innehatten, verwenden die Cyberkriminellen solche Funktionen heutzutage zu verschiedenen Zwecken – von Spionage oder Hacktivismus hin zur Spurenverwischung nach einem erfolgreichen Cyber-Spionage-Angriff. Die    ist eines dieser berüchtigten Beispiele. Die Komponente zur Datenlöschung wurde Berichten zufolge auch beim Angriff gegen Sony Pictures genutzt. Ebenso sollte klar sein, dass ein Trojaner, der Daten oder einige Sektoren der Festplatte löschen kann, nicht gerade einzigartig ist. Und wenn wir die unpräzise Natur der Malware-Benennung bedenken (viele solcher Trojaner wurden als „Wiper“ oder mit ihrer Bedeutung nach ähnlichen Wörtern benannt), sind Spekulationen, unbegründete Zusammenhänge und Verbindungen zu voneinander unabhängigen Vorfällen vorprogrammiert. Selbst die BlackEnergy-Familie hat 2014 ein zerstörerisches Plug-In verwendet. Doch im Gegensatz zu den jüngsten KillDisk-Versionen, die gegen Medien- und Stromversorgungsunternehmen eingesetzt wurden, erscheint es als generische „Selbstzerstörungskomponente“, zu welchem intendierten Zweck können wir nicht sagen.

Unsere Analyse zur zerstörerischen KillDisk, die in der Ukraine entdeckt wurde, verweist darauf, dass sie theoretisch in der Lage ist, kritische Systeme lahmzulegen. Doch es gibt noch eine andere Erklärung. Die BlackEnergy Backdoor, wie auch die kürzlich entdeckte SSH Backdoor, geben Angreifern remote Zugang zu infizierten Systemen. Nach der erfolgreichen Infektion eines kritischen Systems mit diesen Trojanern wäre ein Hacker theoretisch in der Lage, das System abzuschalten. In diesem Fall agierte der eingeschleuste Trojaner KillDisk als perfektes „Gegenmittel“ zur Datenwiederherstellung. Wir können mit ziemlich großer Gewissheit annehmen, dass das beschriebene Tool-Set den Stromausfall in der Region Iwano-Frankiwsk verursachte.

Mehr Infos zur Malware findest du in unserem technischen Blogpost.