Verbindung zu bekannten Akteuren

Windows-Backdoor GigaWiper vereint Spionage und Zerstörung

Backdoor

Microsoft warnt vor der Schadsoftware GigaWiper. Die Windows-Backdoor kombiniert Spionagefunktionen mit Datenlöschung und vorgetäuschtem Ransomware-Befall.

Microsoft und das Sicherheitsunternehmen Binary Defense haben eine neue Schadsoftware namens GigaWiper analysiert, die in anderen Analysen auch unter dem Namen BLUERABBIT geführt wird. Das in der Programmiersprache Go geschriebene Schadprogramm für Windows-Systeme vereint drei verschiedene Zerstörungsfunktionen in einer einzigen Plattform, die der Angreifer je nach Ziel auswählen kann.

Anzeige

Die erste Funktion überschreibt die physische Festplatte und löscht die Partitionstabelle vollständig, was eine Wiederherstellung von Dateien verhindert. Die zweite Komponente basiert auf älterem Schadcode namens Crucio und agiert als Schein-Ransomware. Sie verschlüsselt Daten mit der Endung .candy, speichert jedoch absichtlich keinen Entschlüsselungsschlüssel ab, wodurch eine Datenrettung gegen Lösegeld unmöglich ist. Die dritte Funktion überschreibt gezielt das Windows-Systemlaufwerk mehrfach mit wechselnden Datenmustern.

Integrierte Spionagefunktionen und Tarnung im Netzwerk

Neben den destruktiven Komponenten verfügt die Backdoor über weitreichende Spionagewerkzeuge. Das Programm kann fortlaufend Bildschirminhalte aufzeichnen, Screenshots anfertigen und eine verdeckte VNC-Sitzung für den direkten Fernzugriff öffnen. Zudem sammelt die Software Systemdaten, manipuliert die Registrierungsdatenbank und löscht Windows-Ereignisprotokolle, um die eigenen Spuren zu verwischen.

Zur internen Tarnung gibt sich die Schadsoftware als OneDrive-Dienst aus und richtet eine minütliche Aufgabe namens OneDrive Update ein. Für den Datenaustausch mit den Steuerungsservern nutzt das Programm legitime Unternehmensprotokolle wie RabbitMQ für Aufgabenstellungen, Redis für Ergebnisse und MinIO für den Datenabfluss. Dadurch hebt sich der bösartige Netzwerkverkehr in Firmenumgebungen, die diese Werkzeuge regulär einsetzen, kaum ab.

Anzeige

Verbindung zu bekannten Akteuren und Schutzmaßnahmen

Sicherheitsanalysten von Binary Defense führen die Schadsoftware unter Berufung auf die Threat Intelligence Group von Google auf eine Gruppierung mit Bezug zum Iran zurück, die primär israelische Organisationen angreift. Microsoft nannte in seinem Bericht keine staatliche Zuordnung. Teile des Codes weisen funktionale Verbindungen zu der Gruppe CyberAv3ngers auf, die in der Vergangenheit für Angriffe auf industrielle Kontrollsysteme in der Energie- und Wasserversorgung verantwortlich war. Da es sich um eine manipulative Backdoor handelt, die erst nach einem erfolgreichen Netzwerkeinbruch ausgeführt wird, existiert kein Software-Patch zur Schließung einer einzelnen Sicherheitslücke. Zur frühzeitigen Erkennung dienen spezifische Indikatoren im Systemverhalten:

  • Eine minütlich ausgeführte Aufgabe namens OneDrive Update im Aufgabenplaner.
  • Unerwarteter Datenverkehr über die Protokolle RabbitMQ oder Redis von normalen Arbeitsplatzrechnern anstelle von Servern.
  • Prozesse, die außerhalb regulärer Wartungsfenster die Rechte an Windows-Startdateien wie bootmgr oder ntoskrnl.exe übernehmen.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.