Dipl.-Inform. Carsten Eilers

Der Schädling wird schon seit einiger Zeit untersucht, besonders viele Informationen wurden aber zumindest bisher nicht veröffentlicht. Entdeckt wurde der Schädling von Seculert, die Kaspersky hinzugezogen haben, die ihn nun in einer Pressemitteilung allgemein bekannt gemacht haben. Außerdem gibt es einen Blogeintrag von Symantec, von anderen Antivirenherstellern oder Forschen gibt es bisher keine Informationen.

Die Informationen von Seculert

Seculert hat den Schädling in Form einer E-Mail entdeckt, die eine gefälschte Word-Datei als Anhang enthielt. Beim Öffnen der Datei wurde ein Malware-Dropper ausgeführt und zusätzlich die Datei mahdi.txt, die ein echtes Word-Dokument enthält, geöffnet. Thema des Dokuments: Der Cyberkrieg zwischen Israel und dem Iran. Der Dateiname war auch für den von Seculert gewählten Namen für den Schädling verantwortlich: Mahdi. Aufgrund der Verbreitungsweise handelt es sich um einen Trojaner.

Bei der Analyse der Kommunikation des Schädlings mit dem Command&Control-Server stießen die Forscher sowohl in der Kommunikation selbst als auch im Code auf dem C&C-Server auf Strings in Farsi sowie Daten im persischen Kalenderformat.

Die Kommunikation zwischen Schädling und Command&Control-Server wie z.B. das Nachladen weiterer Module zum Sammeln von Informationen, für Audio-Aufnahmen und ein Keylogger erfolgt über korrekt aussehende Google-Webseiten. Der hochgeladene Modulcode ist Base64-kodiert im HTML-Code der Seite verborgen.

Der untersuchte Schädling kommunizierte mit einem C&-Server in Canada. Varianten des Schädlings konnten bis in den Dezember 2011 zurückverfolgt werden, diese Varianten kommunizierten mit der gleichen Domain, der zugehörige Server stand damals aber in Teheran.

Als Kaspersky im Mai die Entdeckung von Flame meldete (und dabei ziemlich auf die Tränendrüse Paniktaste drückte), nahm Seculert Verbindung mit Kaspersky auf, um mögliche Verbindungen zwischen Mahdi und Flame zu untersuchen. Insgesamt konnten über 800 Opfer von Mahdi ermittelt werden, die Schädlinge nutzten dabei über einen Zeitraum von 8 Monaten 4 verschiedene C&-Server. Jedem infizierten Rechner wird von der Schadsoftware ein Name mit einem spezifischen Prefix zugeordnet, ein Verfahren, was auch bei anderen Advanced Persistent Threads wie z.B. Lurid schon beobachtet wurde, um verschiedene Kampagnen auseinander halten zu können.

Zu den Opfern gehören Unternehmen aus dem Bereich "Kritische Infrastrukturen", Finanzinstitute und Botschaften. Die meisten Infektionen gibt es im Iran (387 Infektionen), gefolgt von Israel (64), Afghanistan (14), den Vereinigten Arabischen Emiraten (6) und Saudi Arabien (4).

Ob ein Staat hinter den Angriffen steckt oder nicht, ist bisher nicht bekannt. Zumindest gibt es keine Verbindung zu Flame, während zwischen den bisherigen Cyberwar-Schädlingen Flame, Duqu und Stuxnet Gemeinsamkeiten gefunden wurden.

Die Informationen von Kaspersky

Während Seculert die Angriffe bis in den Dezember 2011 zurückverfolgen konnte, schreibt Kaspersky, die Angriffe laufen "For almost a year", genauere Daten verrät man aber nicht. 8 Monate sind ja nicht mal ein Dreiviertel Jahr, evtl. hat Kaspersky also noch weiter zurück liegende Infektionen entdeckt. Ebenso wie Seculert hat man rund 800 Infektionen entdeckt.

Kaspersky nennt den Schädling aufgrund mehrerer darin vorkommender Strings "Madi" Könnte jemand denen mal ein "h" kaufen oder Seculert ihres abkaufen? Warum schaffen es nicht einmal zwei kooperierende Unternehmen, einem Schädling einen einzigen Namen zu geben? Andererseits tanzt gerade Kaspersky gerne aus der Reihe, auch der bekannte Conficker/Downadup hat dort (und nur dort) einen anderen Namen: Kido.

Die Liste der Opfer erweitert Kaspersky um Regierungsstellen und Hochschulen. Laut Kaspersky wird der Schädling ebenfalls über E-Mails verbreitet, allerdings mit zwei anderen Arten von Anhängen. Bei der ersten Art handelt es sich um PowerPoint-Dateien, die einen enthaltenen Downloader installieren, der seinerseits eine Backdoor nachlädt und installiert. Zusätzlich sind die PowerPoint-Dateien teilweise in Passwortverschlüsselte Archive verpackt, ein alter Trick zum Umgehen von Virenscannern auf Mailservern etc.. Bei der zweiten Art von Anhängen handelt es sich um ausführbare Dateien, die mit Hilfe des Right to Left Override (RLO) Unicode Trick als harmlose Dateien mit z.B. JPG. oder PDF-Extension und passendem Icon getarnt sind. Beim Öffnen der Datei wird das Programm gestartet, dass dann zur Tarnung eine entsprechende Datei, z.B. ein Bild, anzeigt.

Im Fall der PowerPoint-Dateien ist Social Engineering nötig, damit der Trojaner aktiv wird. Der Benutzer muss der Aktivierung des eingebetteten Codes zustimmen, wobei er vor Viren und schädlichen Code gewarnt wird.

Der Trojaner wurde in Delphi geschrieben und installiert u.A. eine Vielzahl von meist leeren Dateien sowie einige Dateien zur Ablenkung, darunter den schon von Seculert bekannten Text über den Cyberkrieg im Nahen Osten. Aber auch Schadsoftware in Form einer Backdoor wird, wie oben schon erwähnt, installiert. Diese bietet neun Optionen, die zum Teil über Delphi-Timer gesteuert werden:

1. Einen Keylogger
2. Das Anfertigen von Screenshots in bestimmten Intervallen
3. Das Anfertigen von Screenshots in bestimmten Intervallen, ausgelöst von bestimmten Kommunikationsevents wie z.B. die Nutzung von Webmail- oder Social-Networking-Seiten oder eines IM-Clients
4. Das Updaten der Backdoor
5. Das Durchführen von Audioaufnahmen
6. Das Sammeln von Informationen aus insgesamt 27 verschiedenen Dateitypen
7. Das Ermitteln der Festplattenstruktur
8. Löschen und bind (was auch immer damit gemeint ist, evtl. das Binden an einen bestimmten Port zur Fernsteuerung), wobei diese beiden Funktionen nicht vollständig implementiert sind
9. fehlt in Kasperskys Aufstellung, sofern Punkt 8 nicht eigentlich Punkt 8 und 9 sein sollen

Die Angreifer halten auf den C&C-Server zwei Versionen des Resource Hacker zum Download bereit, die in der Vergangenheit beide mit einem Virus infiziert und mit einem Virenscanner gereinigt worden sind. Es spricht nicht gerade für sauberes Arbeiten, wenn die Rechner der Schädlingsentwickler selbst mit anderen Schädlingen infiziert sind.

Kaspersky führt dann noch Indizien für eine Infektion mit Mahdi (Kommunikation mit bestimmten Webservern und das Vorhandensein bestimmter Dateien) auf und verweist auf einen kommenden Blogartikel mit Informationen zur Infrastruktur, Kommunikation und Datensammlung. Zu möglichen Urhebern wird keine Aussage gemacht.

Die Informationen von Symantec

Symantec konnte die Angriffe wie Seculert bis in den Dezember 2011 zurückverfolgen, nennt den Schädling auch Madi und hat ebenfalls bösartige PowerPoint-Dateien entdeckt.

Neu ist die Informationen über einen C&C-Server in Aserbaidschan und Angriffe auf Öl-Unternehmen, US-basierte Think Tanks, ein ausländisches Konsulat (was alles bedeuten kann, da "Ausland" sehr relativ ist) sowie Regierungsstellen, darunter einige im Energie-Sektor.

Symantec hat Infektionen in Israel (62%), Saudi Arabien (14%), Neuseeland und Griechenland (je 7%), Equador (5%), der Schweiz (3%) und Vietnam (2%) gefunden. Wo darin die US-basierten Think Tanks stecken, wird leider nicht verraten. Und es gibt auch keine Erklärung, wieso diese Verteilung so drastisch von der von Seculert beobachteten abweicht, sofern es sich nicht schlicht und einfach um Beobachtungsfehler handelt. Die Antivirenhersteller etc. sehen natürlich immer nur die Entdeckungen der eigenen Software, und wenn im Iran niemand Symantec-Scanner einsetzt, ist Symantec dort natürlich quasi Blind.

Auch Symantec hat keine Hinweise auf einen staatlichen Hintergrund gefunden, auch wenn das durch die Angriffe auf Ziele im Iran, Israel (das in der obigen Auflistung gar nicht vorkommt - soviel zum Wert von Statistiken!) und Saudi Arabien nahe liegt. Stattdessen vermutet man einen Farsi-sprechenden Hacker hinter den Angriffen.

Nur ein cyberkrimineller Angriff, oder doch Cyberwar?

Bisher sind im Cyberwar drei Angriffe auf den Iran bekannt geworden, die alle auch zu mehr oder weniger viele Infektionen außerhalb des eigentlichen Zielgebiets führten: Stuxnet, Duqu und Flame (bei dem immer noch nicht bekannt ist, die die Erstinfektion eines lokalen Netzes erfolgt). Alle drei benutzen teilweise identischen Code, alle drei setzen 0-Day-Schwachstellen zur Infektion oder Verbreitung ein. Mahdi passt nicht in diese Muster: Er enthält keinen Code der bisherigen Schädlinge und ist in einer komplett anderen Sprache geschrieben. Und statt auf 0-Day-Exploits setzt er auf simples Social Engineering bzw. alte Tricks.

Die Urheber von Stuxnet, Duqu und Flame stehen mehr oder weniger zuverlässig fest: Sie wurden von den USA und Israel entwickelt. Kann sich jemand von Ihnen vorstellen, dass ein US-Geheimdienst in seinem Cyberwar-Programm Strings in Farsi erlaubt? Ich nicht. Das gleiche gilt für den Begriff Mahdi, der aus dem Islam stammt. Stuxnet und Co. gehen auf George W. Bush zurück, der nicht gerade als Islam-Fan bekannt ist. Und die Nutzung des persischen Kalenderformats in einem Schädling der USA und Israels erscheint mir auch ziemlich unwahrscheinlich. Bekanntlich haben die USA ja schon Probleme, wenn ihre Wissenschaftler auf das Internationale Einheitensystem (SI-Einheitensystem) stoßen. Und zu guter Letzt enthalten die PowerPoint-Dateien teilweise hebräische Texte, die Fehler enthalten und "awkwardly phrased" sind, also kaum von einem hebräischen Muttersprachler stammen. Sollte man bei einem von den USA und Israel gemeinsam entwickelten Schädling nicht eigentlich erwarten, dass die hebräischen Texte korrekt sind?

Insgesamt sieht das sehr wie ein Angriff normaler Cyberkrimineller aus. Was einen politischen Hintergrund nicht ausschließt, vielleicht hat ja ein iranischer Cyberkrimineller beschlossen, auf eigene Faust einen Gegenangriff zu starten. In dem Zusammenhang wäre es interessant zu wissen, ob nun die meisten Infektionen in Israel (wie von Symantec gemeldet) oder im Iran (wie von Seculert gemeldet) gefunden wurden. Warten wir also erst mal ab, was noch über Mahdi bekannt wird. Früher oder später werden sich sicher auch die restlichen Antivirenhersteller zu Wort melden.

Carsten Eilers