Ernsthafte Bedrohung für VDI-Infrastrukturen umgeht Sicherheitsfunktionen

Palo Alto Networks entdeckt zweite, gefährliche Welle von "Shamoon 2"-Angriffen

München, (PresseBox) - Das Anti-Malware Team von Palo Alto Networks, Unit 42, hat eine schwerwiegende Angriffswelle der Shamoon-Kampagne entdeckt. Diese Wiper-Angriffe sind so konfiguriert, dass zu konkreten Terminen Systeme und Daten zerstört werden. Beim jüngste Angriff wurde zudem eine der primären Gegenmaßnahmen, die gegen Wiper-Angriffe eingesetzt wurden, erfolgreich unterlaufen: Virtual Desktop Interface Snapshots. Im November 2016 hatte Palo Alto Networks bereits gefährliche Wiper-Angriffe im Zusammenhang mit der ursprünglichen Shamoon-Kampagne aus 2012 beobachtet. Die neuen Ausführungen der Attacken, die Sicherheitsvorkehrungen austricksen, machen diesen Cyberangriff zu einer potenziell ersthaften Bedrohung für Unternehmen weltweit.

Die Akteure setzten die Disttrack-Nutzlast ein, um auf Systeme im lokalen Netzwerk zuzugreifen. Besonders auffällig war an diesem Sample, dass legitime Anmeldeinformationen verwendet wurden. Diese umfassten mehrere Benutzernamen und Passwörter aus der offiziellen Huawei-Dokumentation für Virtual-Desktop-Infrastruktur (VDI)-Lösungen, wie FusionCloud. Diese legitimen Anmeldeinformationen waren spezifisch für das Angriffsziel und so komplex, dass die Bedrohungsakteure einen vorherigen Angriff durchgeführt haben müssen, um an die Anmeldeinformationen zu kommen. Die gefundenen hartcodierten Anmeldeinformationen deuten darauf hin, dass die Angreifer Zugang zu Appliances haben mussten, auf denen die Infrastruktur gehostet wird. Der Disttrack Wiper wurde so eingestellt, um mit dem Überschreiben der Systeme an einem konkreten Datum zu beginnen. Dies passt mit der Taktik der Shamoon-Akteure zusammen. So sollte die Auswirkung maximiert werden, indem der Angriff zu einem Zeitpunkt erfolgt, zu dem das Unternehmen weniger Personal und Ressourcen vor Ort im Einsatz haben würde, um einzugreifen.

VDI-Lösungen können einen gewissen Schutz gegen eine destruktive Malware wie Disttrack bieten, durch die Fähigkeit, Snapshots von „gewipeten“ Systemen zu laden. Die Tatsache, dass die Shamoon-Angreifer Benutzernamen und Passwörter hatten, könnte darauf hindeuten, dass sie beabsichtigten, uneingeschränkten Zugang zu diesen Technologien bei ihrem Angriffsziel zu erhalten, um die Auswirkungen ihres zerstörerischen Angriffs zu erhöhen. Wenn dies der Fall ist, wäre dies eine neue Qualität der Bedrohung. Unternehmen sollten daher zusätzliche Sicherheitsmaßnahmen zum Schutz der Anmeldeinformationen für ihre VDI-Bereitstellung in Erwägung ziehen.

Zu diesem Zeitpunkt haben die Forscher von Palo Alto Networks keine Einzelheiten über die Kompromittierung, die dem Shamoon-Angriff vorausgegangen sein muss, um Anmeldeinformationen zu erhalten. Ebenso gibt es noch keine Details über die Methode, die verwendet wurde, um die neue, zwar ähnliche, aber im Vergleich zum ersten Angriff unterschiedliche Disttrack-Nutzlast in diesem Angriff zu auszuliefern. Ähnlich wie bei den anfänglichen Angriffen, deutet das Fehlen eines operativen C2-Servers darauf hin, dass die einzige Absicht der Bedrohungsakteure, diesen „Shamoon 2“-Angriff auszuführen, darin besteht, Daten und Systeme zu zerstören.
 

Palo Alto Networks GmbH

Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.

Press releases you might also be interested in

Subscribe for news

The subscribtion service of the PresseBox informs you about press information of a certain topic by your choice at a choosen time. Please enter your email address to receive the email with the press releases.

An error occurred!

Thank you! You will receive a confirmation email within a few minutes.


I want to subscribe to the gratis press mail and have read and accepted the conditions.