Cyberwaffe

29. Juni 2017 20:03; Akt: 29.06.2017 20:03 Print

«Petya wurde gemacht, um gezielt PC zu zerstören»

Laut Sicherheitsforschern ist Petya kein Verschlüsselungstrojaner, sondern eine Cyberwaffe, die Chaos stiften soll. Absender seien staatliche Stellen.

Bildstrecke im Grossformat »
Am 27. Juni 2017 wurde die Ransomware Petya losgelassen. Weltweit wurden PC-Systeme gesperrt. Betroffen von dem Angriff waren unter anderem der Ölkonzern Rosneft, die dänische Reederei Maersk und das britische Werbeunternehmen WPP. Am meisten Infizierungen gab es in der Ukraine. Getroffen hat es auch diesen Supermarkt in der zweitgrössten Stadt der Ukraine, Charkiw. Die Verteilung der Schadsoftware gelang unter anderem über NSA-Exploits, die gestohlen wurden. Die Schadsoftware infizierte Mitte 2017 mehrere Hunderttausend Systeme in 150 Ländern und verschlüsselte alle Dateien auf den PCs. Die Angreifer forderten darauf ein Lösegeld, um die Files wieder freizugeben. Betroffen waren zahlreiche Firmen, darunter Renault, Fedex oder die britische Gesundheitsbehörde. Grund für die rasende Verbreitung: Wanna-Cry nutzte eine Lücke, die zuvor beim US-Auslandgeheimdienst NSA gestohlen worden war. Forscher der Sicherheitsfirma Eset berichten von einer Schadsoftware, die Blackouts in Stromnetzen erzeugen kann. Der sogenannte Industroyer soll Ende 2016 für einen Stromausfall in der ukrainischen Hauptstadt Kiew verantwortlich gewesen sein. Im Jahr 2016 gab der IT-Konzern bekannt, dass 2013 und 2014 bei Cyberangriffen die Daten von 1,5 Milliarden Mitgliedern abhandengekommen waren. Unter anderem wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtstage und Teile von Passwörtern entwendet. Unbekannten gelang es im Jahr 2016, in die Systeme des Department of Justice einzudringen. Die Angreifer entwendeten Namen, E-Mail-Adressen, Wohnorte und Job-Titel von mehr als 30'000 US-Beamten. Mit der anschliessenden Veröffentlichung wurden 1797 FBI-Spezialagenten enttarnt. Die Seitensprungplattform sorgte 2015 für Schlagzeilen. Eine Gruppe namens Impact Team entwendete rund 25 GB Daten von den Servern. Neben Interna der Firma wurden im Anschluss auch die E-Mail-Adressen von 37 Millionen Mitgliedern veröffentlicht, die über die Plattform nach einem Seitensprung gesucht hatten. Hacker, die sich selbst in Verbindung mit der Terrororganisation IS bringen, haben 2015 den Twitter-Account von CentCom gekapert. Das United States Central Command ist eines von sechs Regionalkommandozentren der US-Streitkräfte. Wenige Minuten vor der Übernahme hatte der damalige US-Präsident Barack Obama in Washington über Cybersecurity gesprochen. Die sogenannten Guardians of Peace (GOP) starteten im Jahr 2014 einen grossen Cyberangriff auf Sony. Sie veröffentlichten Interna von 47'000 Mitarbeitern. Darunter waren auch mehrere prominente Schauspieler. Auch mehrere unveröffentlichte Skripts und Filme wurden publik gemacht. Hinter dem Angriff vermuten Experten Drahtzieher aus Nordkorea als Reaktion auf den Film «The Interview». Im Film mit Seth Rogen geht es um ein Mordkomplott gegen Kim Jong-un. Der Sicherheitsexperte Bruce Schneier beschrieb die Lücke folgendermassen: «Auf einer Skala von 1 bis 10 ist das eine 11.» Die Schwachstelle blieb mehrere Jahre unentdeckt, kam aber 2014 ans Licht. Wegen eines Fehlers in der Sicherheitssoftware OpenSSL konnten Hacker Verschlüsselungen aushebeln und so vermeintlich geschützte Daten abgreifen. Mehrere 100'000 Websites weltweit waren schätzungsweise betroffen. Dem US-Auslandgeheimdienst NSA sei die Lücke seit 2012 bekannt gewesen, schrieb damals Bloomberg.com. Hackern gelang es 2014, Namen, E-Mails, Adressen, Telefonnummern und Geburtsdaten von Ebay-Servern zu stehlen. In der Folge forderte die Firma 145 Millionen aktive Mitglieder auf, ihr Passwort zu ändern. In einem gross angelegten Angriff gelang es Hackern 2011, Daten von rund 100 Millionen Nutzern der Plattform Playstation Network zu entwenden. Gestohlen wurden unter anderem auch Bankdaten und Adressen. Sony musste wegen des Datenlecks eine Strafe von 250'000 britischen Pfund bezahlen. Der Wurm gilt als erste bekannte Cyberwaffe. Stuxnet wurde 2010 eingesetzt, um die Steuerungssysteme in iranischen Uran-Anreicherungsanlagen zu manipulieren. Den Angreifern gelang es, die Zentrifugen so zu beschleunigen, dass diese kaputtgingen. Rund ein Fünftel aller Zentrifugen wurde so zerstört. Laut Whistleblower Edward Snowden steckten Geheimdienste aus den USA und Israel hinter dem Angriff. 2009 wurde Google.cn gleich mehrmals angegriffen. Die Attacken liefen unter dem Namen Aurora. Den Angreifern gelang es, Daten von Google zu entwenden. Neben Google wurden gleichzeitig rund 30 weitere Firmen angegriffen. Im Jahr 2008 nistete sich der Virus in Windows-Betriebssystemen ein. Mithilfe von Conficker gelang es Hackern, Passwörter und persönliche Informationen und Bankdaten abzugreifen. Mehr als neun Millionen Geräte wurden damals infiziert. Dieser Makrovirus war für MS Word programmiert. Er richtete 1999 relativ grossen Schaden an, da er sich automatisch an die 50 ersten Outlook-Kontakte weiterschickte. Das brachte die Netzwerke zur Überlastung, weshalb selbst Firmen wie IBM und Microsoft ihre Netzwerke temporär ausschalten mussten. Der Schaden wurde auf rund 80 Millionen US-Dollar geschätzt. Einem 15-jährigen Teenager gelang es 1999, in Systeme vom US Departement of Defense einzudringen. Dort installierte er dann eine Hintertür und griff so Nutzernamen, Passwörter und Tausende E-Mails ab. Mit den Daten entwendete er dann Software von der Nasa, deren Systeme darauf drei Wochen ausser Betrieb waren. Laut der Nasa hatte das Tool einen Wert von 1,7 Millionen US-Dollar und war dazu da, die Innentemperatur und Luftfeuchtigkeit der ISS zu regulieren.

Zum Thema
Fehler gesehen?

Die Schadsoftware Petya hat die letzten Tage für Systemausfälle rund um den Globus gesorgt. Laut der Firma Malwarebytes sind rund 18'000 Infektionen in über 60 Ländern registriert worden.

Umfrage
Haben Sie auf Ihren Geräten schon einmal Schadsoftware entdeckt?
39 %
4 %
21 %
23 %
13 %
Insgesamt 2788 Teilnehmer

Lange waren sich die Experten uneinig, womit man es hier genau zu tun hat. Erst ging man davon aus, dass Petya Daten verschlüsselt, also zu der Gruppe der sogenannten Ransomware gehört. Jetzt wurde der Quellcode des Programms genauer analysiert.

Petya soll Chaos stiften

Dabei zeigte sich: Petya ist den sogenannten Wipern zuzuordnen, einer seltenen Art von Schadsoftware. Das Ziel des Programms sei es nicht, Geld von den Opfern zu erpressen, sondern die befallenen Systeme gezielt zu beschädigen und zu zerstören, schreibt der Sicherheitsforscher Matt Suiche von Comae.io in seinem Blog.

Zu diesem Schluss kommen auch die Mitarbeiter der russischen Firma Kaspersky. «Für die Opfer ist das ein Worst-Case-Szenario. Sie werden ihre Daten wohl nicht mehr zurückbekommen», heisst es in deren Blogeintrag.

Wer steckt dahinter?

Während reguläre Ransomware Dateien verschlüsselt, geht Petya einen anderen Weg. Das Programm lösche die ersten Sektoren auf der Festplatte und überschreibe sie. Das zeige, dass die Absender keine finanziellen Motive haben. Suiche von Comae.io vermutet hinter dem Angriff staatliche Stellen. Namen nennt er nicht.

Das Epizentrum des Angriffs lag in der Ukraine. Das Land war in jüngster Zeit mehrfach Ziel von Cyberattacken. Die gravierendste fand Ende 2016 statt. Bei einem Angriff provozierten bisher unbekannte Angreifer einen Blackout im Stromnetz, von dem rund 700'000 Einwohner betroffen waren.


(tob)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Joachim am 29.06.2017 20:24 via via Mobile Report Diesen Beitrag melden

    Umfrage

    Coole Umfrage: ich besitze gar keine elektronischen Geräte... an der Abstimmung habe ich per Briefpost teilgenommen :-)

    einklappen einklappen
  • IT Spezialist am 29.06.2017 20:39 Report Diesen Beitrag melden

    Nachlässigkeiten Pur

    Naja.. eigentlich gibt es die FAT immer doppelt. Und es gibt auch Tools, um davon ein Backup zu machen. Ich würde es mal so versuchen.. oder halt immer ein Image der Festplatte als Backup in Reserve halten. Und dieses auch regelmässig updaten. Das Thema ist Datensicherheit. Und dazu gehören nun mal Backups. Leider mit ein wenig Arbeit verbunden, aber definitiv weniger Frust und Aufwand als Daten zu verlieren. Früher hat man auch von wichtigen Dokumenten Fotokopien gemacht.. haben das alle vergessen??

    einklappen einklappen
  • Freddi am 29.06.2017 21:28 Report Diesen Beitrag melden

    Warum wird der PC Zerstört?

    Also ich habe nicht gehört, das der Virus einen PC Kaputt macht. Alle verbauten Teile laufen noch.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Dä Jesus am 02.07.2017 10:43 via via Mobile Report Diesen Beitrag melden

    Keine elektronische Geräte

    Wie kann man denn an einer Onlineabstimmung teilnehmen, wenn man keine elektronische Geräte hat?

  • System Engineer am 30.06.2017 13:54 via via Mobile Report Diesen Beitrag melden

    Wo hat es am meisten SchadSW

    Darum sollte man diese Technologie nicht als zentrales System einsetzen. Die grösste Anzahl von Schad SW wird für diese Technologie erstellt.

  • Benny am 30.06.2017 11:19 Report Diesen Beitrag melden

    Keine Panzer

    Die Schlacht bei Charkow digitalisiert.

    • nina am 30.06.2017 16:11 Report Diesen Beitrag melden

      genial, aber

      das versteht hier kaum einer, schade - dabei doch sehr brilliant :)

    einklappen einklappen
  • Fritz Hofer am 30.06.2017 10:24 Report Diesen Beitrag melden

    Bei vernünftiger IT kein Problem

    Wer von den Daten auf den Servern kein Backup hat dem ist nicht zu helfen und in einer seriösen Firma undenkbar. Daten grhören auf den Server und auf den Clients sollte nicht mehr als das Betriebssystem sein und dies neu aufsetzen ist ein kleiner Aufwand.

    • Zitrone am 02.07.2017 16:20 Report Diesen Beitrag melden

      Kleiner Aufwand?

      In diesen Unternehmen sind nicht 5-10 Computer verschlüsselt, sondern eher 50-100 - die alle neu aufzusetzen ist ein erheblicher Aufwand und in der Zeit arbeiten 50-100 Leute dann eben mal einfach nicht...

    einklappen einklappen
  • itit am 30.06.2017 09:48 Report Diesen Beitrag melden

    Recovery-Tools

    Es gibt Tools die Festplatten unabhängig von gelöschten MBR nach Dateien suchen. Also HD als slave installieren oder ab einer CD das Tool starten und die gefundenen Dateilen umspeichern. Solche tools sind normalerweise die ersten Tage kostenlos und können für eine einmalige Aktion verwendet werden.

    • Fritz Hofer am 30.06.2017 10:28 Report Diesen Beitrag melden

      In Unternehmen läuft das anders

      Dies machen nur Amatuere mit ihrem Home PC. In Unternehmen wird der PC neu aufgesetzt und falls der Fileserver betroffen ist mit der letzten Datensicherung wieder hergestellt.

    • IT spezialist am 30.06.2017 16:48 via via Mobile Report Diesen Beitrag melden

      @Fritz Hofer

      Hast du recht. Ist bei uns genau gleich.

    einklappen einklappen