29.08.2012, 16:27

Benjamin Schischka

Cyberwaffe

Malware "Wiper" verstümmelt alle Daten auf der Festplatte

Wiper löscht alles ©iStockphoto.com/ugurhan

Wiper versteckt sich so gut, dass bei der Suche nach dem Schädling zufällig die bislang komplexeste Malware der Welt gefunden wurde – Wiper selbst aber nicht.
Als im April 2012 die Dateien mehrerer Computersysteme der Ölindustrie in Westasien zerstört wurden, fand Kaspersky bei den Untersuchungen die Malware Flame. Flame ist eine komplexe Cyber-Waffe, die zum Spionage-Angriff auf Länder im Mittleren Osten verwendet wurde. Die Spionage-Malware soll sogar so komplex sein, dass der Schädling alle bisherigen Cyber-Bedrohungen in den Schatten stelle. Umso beunruhigender ist es also, wenn Kaspersky zugibt, dass man den eigentlichen Schuldigen damals nicht entdeckt hat. Auf Flame sind die Forscher also nur zufällig gestoßen. Der eigentliche Übeltäter – auf den Namen Wiper getauft – wende eine extrem effiziente Methode zur Zerstörung von Daten an. In Sekunden soll Wiper möglichst viele Daten auf der Festplatte so verstümmeln, dass sie nicht mehr ausgelesen werden können. Es seien auch schon ganze Festplatten gelöscht worden. Die Malware verwischt so auch ihre eigenen Spuren. Kaspersky Lab vermutet, dass Wiper in der Zwischenzeit andere Cyberkriminelle zur Nachahmung inspiriert haben könnte. Das würde beispielsweise das Auftreten von Shamoon im August erklären.
 
Alexander Gostev, Chief Security Expert von Kaspersky Lab erklärt dazu: „Auf Basis der vorgefundenen Spuren auf den zur Analyse eingereichten Festplatten besteht kein Zweifel daran, dass Wiper existiert und für Angriffe auf Computer im Westasien im April 2012 verwendet wurde. Vermutlich aber begannen die Angriffe sogar schon im Dezember 2011. Zwar haben wir Flame über die Nachforschungen zu Wiper entdeckt. Wir nehmen jedoch an, dass Wiper sich von Flame unterscheidet und einen anderen Malwaretyp darstellt. Das destruktive Verhalten von Wiper und zurückgelassene Dateinamen erinnern an die Tilded-Plattform. Die modulare Architektur von Flame hingegen war komplett anders und auf eine nachhaltige Kampagne zur Cyberspionage ausgerichtet. Bei Flame fanden wir auch keine Hinweise auf ein solch destruktives Verhalten, wie es Wiper an den Tag legt.”
 
Die Analyse der von Wiper zerstörten Festplatten soll eine Löschroutine aufgedeckt haben, die mit „~D“ beginnt. Genau wie bei Duqu und Stuxnet. Duqu und Stuxnet wurden auf einer gemeinsamen Plattform erstellt, „Tilded“ genannt. Bei der Suche nach weiteren Dateien, die mit „~D“ beginnen, sei man dann auf Dateien mit dem Namen „~DEB93D.tmp“ gestoßen – Teile von Flame.
Kommentare zu diesem Artikel (4)
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

1564222
Content Management by InterRed