Die Malware Petya, die Ende Juni durch das Internet fegte, lässt zahlreiche Fragen offen. Zwar wird die Software immer weiter untersucht, dennoch ist längst nicht alles klar. In diesem Blogeintrag tragen wir unsere neuen Erkenntnisse zusammen und versuchen, einigen der offenen Punkte auf den Grund zu gehen.
Wie heißt die Malware denn jetzt?
Petya, NotPetya, EternalPetya, Nyetya – die Malware trägt verschiedene Namen, je nachdem welcher Hersteller darüber schreibt. Es scheint sich NotPetya als Begriff durchzusetzen, daher nutzen wir diesen Begriff auch schwerpunktmäßig. Wobei in einzelnen Blogs auch „EnternalPetya“ auftauchen kann.
Ransomware oder Löschprogramm?
Tatsächlich scheint es „Malfunctioning Malware“ zu sein (übrigens eine großartiger Bandname). Die Schadsoftware ist definitiv seltsam geschrieben und hat einige Bugs und Fehler. „Fehlerhafte Malware ist nichts seltenes“, so Andy Patel von den F-Secure Labs. „… NotPetya ist kein Löschprogramm“, sagt Sean Sullivan, F-Secure Security Advisor. “Unter einem solchen Wiper verstehen wir Malware wie Shamoon. NotPetya ist fast eine funktionstüchtige Ransomware, aber die Frage bleibt: Was steckt noch darin? War es nur ein Prototyp? Und wenn ja, ein Prototyp für was?“
Wie arbeitet NotPetya?
Die Experten in den F-Secure Labs analysieren NotPetya und aktuell sieht das Ergebnis in etwa so aus:
Wie arbeitet Petya? Das Whiteboard bei den F-Secure-Labs.
Einen ausführlichen Blog-Beitrag dazu haben Andy Patel und Sean Sullivan im Labs-Blog veröffentlicht.
Kurz gesagt: Die Malware infiziert den Master Boot Record (MBR) von Windows. Die überschreibt die Boot-Funktionen und startet danach den Computer neu. Bei diesem Neustart wird die eigentliche Malware ausgeführt. Sie verschlüsselt die Master File Table des NTFS Dateisystems und zeigt anschließend die Erpressernachricht an. Das ist der große Unterschied zu Ransomware wie WannaCry: Diese verschlüsselt einzelne Dateien auf der Festplatte, der Rechner an sich ist aber noch nutzbar. Bei NotPetya ist der komplette PC nicht mehr verwendbar. NotPetya nutzt zudem die EternalBlue und EternalRomance-Attacken aus der NSA Sammlung, die Anfang des Jahres öffentlich gemacht wurde. Sie verbreitet sich parallel im Netzwerk und nutzt dazu Protokolle wie SMB oder Tools wie PSExec.
Die Software ist aber offensichtlich voller Fehler (und ja, da steht wirklich „Does stupid Shit“). „Wir haben zahlreiche Hinweise darauf, dass NotPetya schnell entwickelt und nicht wirklich getestet wurde“, so Andy Patel. „Eine Maschine kann sich etwa selbst mehrfach infizieren, die bereits verschlüsselten Daten werden dann nochmals verschlüsselt“. Darüber hinaus scheint es Platzhalter für Funktionen zu geben, die noch nicht integriert wurden.
Allerdings stecken clevere und ausgereifte Code-Komponenten in der Malware – mit ein Grund für die erste Einschätzung, dass dahinter Profis stecken. Insgesamt ist es aber einfach schlecht entwickelte Malware. Und solche Programme lassen immer Raum für Interpretationen.
Was steckt also dahinter? Ist es ein Test? Versuchen da ein paar Hacker, cool auszusehen? Ging es nur um das schnelle Geld?
„Alles ist möglich“, sagt Andy Patel. „Ein Test, ein Schnellschuss. Oder dass es die Macher einfach nicht interessiert.“
Warum veröffentlicht jemand Malware, die nicht funktioniert?
Hier gibt es mehrere Gründe. Einer könnte sein, dass die Macher ihre Malware in Umlauf bringen wollten, bevor die WannaCry-Sicherheitslücke in Windows XP komplett geschlossen ist. Nach dieser Infektionswelle hat Microsoft Updates für Betriebssysteme veröffentlicht, die eigentlich nicht mehr unterstützt werden. NotPetya nutzt teilweise die gleichen Schwachstellen wie WannaCry, ein Patch würde diesen Infektionsweg schließen.
„Es ist nicht leicht, einen ausgereiften Build-Prozess für Software zu erstellen“, so Andy Patel. „Die Überwachung von Änderungen in verschiedenen Modulen, Sicherzustellen, dass die finale Version die richtigen Dinge enthält und der Test verschiedener Versionen benötigt Zeit und Know-How.“
Steckt ein Staat hinter NotPetya?
„Tatschlich ist es immer schwer, einen solchen Akteur wirklich festzulegen“, sagt Andy Patel. Theoretisch sei es natürlich möglich. Es ist dann beispielsweise denkbar, dass die Malware als Testlauf gedacht war. „Um etwas in freier Wildbahn zu testen muss man es abstreiten können“, sagt Sean Sullivan. „Crypto-Ranmsomware eignet sich ideal für diese Zwecke. Damit hat man ein Tool, das Daten verschlüsseln oder löschen kann, das sofort oder zeitverzögert startet. Zusätzliche Funktionen lassen sich in diesen Programmen gut tarnen. Und wenn es untersucht wird, lassen sich Hinweise auf den Hersteller verbergen und niemand muss öffentlich Verantwortung übernehmen.“
Aber: „Es könnte genauso gut eine neue Ransomware-Familie sein, die jemand entwickelt und testen wollte.“
Die Schwerpunkte der Angriffe lagen zwar in der Ukraine, das allein muss aber noch kein Beweis für die Einmischung eines Staates sein. Das Land wird von zahlreichen Gruppen gerne als „Testumgebung“ genutzt – das amerikanische Magazin Wired hat dazu einen lesenswerten Beitrag. Ein weiterer Grund: NotPetya nutzte für die Verbreitung MEDoc, einem ukrainischen Anbieter, dessen Update-Server gehackt wurde.
Also, wer steckt dahinter?
Sehen Sie sich zunächst diese Grafik an:
Das sind Traffic-Daten unserer weltweit verteilten Honeypots. Der Ausschlag geschah etwa zum Zeitpunkt des Petya-Ausbruchs. „Wir haben die Daten auf die einzelnen Länder heruntergebrochen“, so Leszek Taslemski vom F-Secure Rapid Detection Center. „In Russland sahen wir einen deutlichen Anstieg von SMB-Traffic – und nur von SMB-Traffic. 95 Prozent dieses Datenverkehrs konnten wir nach Moskau und zu einer einzelnen IP zurückverfolgen. Normalerweise sollte dieser Datenverkehr aus dem ganzen Land kommen. Die Ziele waren in absteigender Reihenfolge in der Türkei, Schweden, der Ukraine, Ungarn und Deutschland.“
Steckt also Russland hinter den NotPetya? Möglich ist es, aber eine hundertprozentige Zuweisung ist sehr schwer, auch weil die Grenzen zwischen staatlichem Hacking und kriminellen Banden in einigen Ländern mehr und mehr verschwinden. Zudem ist es leicht, seine Attacke über einen Internetzugang in einem anderen Land zu fahren – ein einzelner gehackter Server reicht hier bereits um eine Nachverfolgung und Zuordnung zu erschweren und unmöglich zu machen.
Kategorien