Neue Erkenntnisse, die letzte Woche veröffentlicht wurden, zeigen, dass sich der Quellcode und die Techniken der Betreiber von Shamoon und Kwampirs überschneiden, was darauf hindeutet, dass sie „dieselbe Gruppe sind oder sehr eng zusammenarbeiten“.
„Die Forschungsergebnisse zeigen, dass sich die beiden Malware-Familien Shamoon und Kwampirs im Laufe der bekannten Zeitspanne gemeinsam weiterentwickelt haben“, sagte Pablo Rincón Crespo von Cylera Labs.
„Wenn Kwampirs auf dem ursprünglichen Shamoon basiert und der Kampagnencode von Shamoon 2 und 3 auf Kwampirs, […] dann sind die Autoren von Kwampirs möglicherweise dieselben wie die Autoren von Shamoon oder müssen eine sehr enge Beziehung zueinander haben, wie im Laufe vieler Jahre festgestellt wurde“, fügte Rincón Crespo hinzu.
Shamoon, auch bekannt als DistTrack, ist eine Malware, die nicht nur Informationen stiehlt, sondern auch eine zerstörerische Komponente enthält, die es ihr ermöglicht, den Master Boot Record (MBR) mit beliebigen Daten zu überschreiben und so den infizierten Computer funktionsunfähig zu machen.
Die Malware, die von der gleichnamigen Hackergruppe entwickelt wurde, die auch als Magic Hound, Timberworm und COBALT GIPSY bekannt ist, wurde erstmals im August 2012 von der zu Broadcom gehörenden Firma Symantec entdeckt. Seitdem sind mindestens zwei aktualisierte Versionen von Shamoon aufgetaucht: Shamoon 2 im Jahr 2016 und Shamoon 3 im Jahr 2018.
Im Juli 2021 schrieb die US-Regierung Shamoon dem iranischen Staat zu und brachte es mit Cyberangriffen auf industrielle Kontrollsysteme in Verbindung.
Andererseits werden die Angriffe mit der Kwampirs-Backdoor mit einer als Orangeworm bekannten Bedrohungsgruppe in Verbindung gebracht. Symantec hat eine Eindringlingskampagne aufgedeckt, die auf Unternehmen im Gesundheitssektor in den USA, Europa und Asien abzielte.
„Kwampirs New Campaign Building Process“ erklärt von Cylera
„Orangeworm wurde erstmals im Januar 2015 identifiziert und hat auch gezielte Angriffe auf Organisationen in verwandten Branchen als Teil eines größeren Angriffs über die Lieferkette durchgeführt, um die beabsichtigten Opfer zu erreichen“, so Symantec in einer Analyse vom April 2018.
Die Aufdeckung der Verbindung durch Cylera Labs beruht auf Malware-Artefakten und bisher unbemerkten Komponenten, von denen eine eine zwischengeschaltete „Stepping Stone“-Version sein soll. Es handelt sich dabei um einen Shamoon-Dropper ohne die Wiper-Funktion, der aber denselben Loader-Code wie Kwampirs verwendet.
Darüber hinaus wurden Ähnlichkeiten auf Code-Ebene zwischen Kwampirs und späteren Versionen von Shamoon entdeckt. Dazu gehören die Funktionen zum Abrufen von System-Metadaten, der MAC-Adresse und der Tastaturbelegung des Opfers sowie die Verwendung derselben InternetOpenW-Windows-API zur Erstellung von HTTP-Anfragen an den Command-and-Control (C2)-Server.
„Shamoon 2 New Campaign Building Process“, erklärt von Cylera
Außerdem wird ein gemeinsames Vorlagensystem verwendet, um das Reporter-Modul zu erstellen, das die Möglichkeit bietet, Host-Informationen hochzuladen und zusätzliche Nutzdaten herunterzuladen, die dann von den C2-Servern ausgeführt werden können – eine Funktion, die in der ersten Version von Shamoon fehlte.
Die Ermittlungen haben ergeben, dass Kwampirs wahrscheinlich auf Shamoon 1 basiert und dass Shamoon 2 einen Teil seines Codes von Kwampirs geerbt hat, was darauf hindeutet, dass die Betreiber der beiden Malwares verschiedene Untergruppen einer größeren Gruppe sind oder dass es sich um die Arbeit eines einzigen Akteurs handelt.
Eine solche Behauptung ist nicht ohne Präzedenzfall. Erst letzte Woche hat Cisco Talos die TTPs eines anderen iranischen Akteurs namens MuddyWater detailliert beschrieben und festgestellt, dass es sich bei diesem nationalstaatlichen Akteur um ein „Konglomerat“ aus mehreren unabhängig voneinander operierenden Teams handelt und nicht um eine einzige Gruppe von Bedrohungsakteuren.
„Sollten diese Schlussfolgerungen tatsächlich zutreffen, würde Kwampirs zu einem groß angelegten, mehrjährigen Angriff auf die globalen Lieferketten im Gesundheitswesen werden, der von einem ausländischen Akteur durchgeführt wird“, so die Forscher.
„Die Daten, die bei diesen Kampagnen gesammelt werden, und die Systeme, auf die zugegriffen wird, können auf vielfältige Weise genutzt werden, z. B. zum Diebstahl von geistigem Eigentum, zum Sammeln von Krankenakten von Zielpersonen wie Dissidenten oder militärischen Führern oder zur Aufklärung bei der Planung zukünftiger zerstörerischer Angriffe.“