Wie bekommen Cracker Zugang zu Rechnersystemen in einer bestimmten Firma? Sie müssen versuchen in die internen Systeme einzudringen. Da gibt es verschiedene Möglichkeiten. Wenn kommerzielle Interessen eine Rolle spielen, dann wird der Bösewicht gerne ein paar Dollar ausgeben und speziell präparierte USB-Sticks auf oder vor dem Gelände der Firma verlieren. Was passiert, wenn jemand einen USB-Stick findet?
Ich meine was passiert, wenn eine normaler Mitarbeiter (keiner aus der IT-Abteilung, sondern ein Sachbearbeiter aus einer Fachabteilung) so einen Stick auf dem Weg zur Arbeit findet? Wird er mal schauen, ob er rausfindet wem der Stick gehört, wie groß er ist oder was drauf ist? Ja, wird er.
Sobald er das Teil ansteckt, kommt der Dialog, dass irgendwelche Treiber installiert werden und ein Dialog, ob dem Anbieter des Treibers vertraut werden soll. Wenn der Anbieter schon sein Zertifikat hinterlegt hat, kommt der Dialog nicht. Und schon ist der Rechner verseucht und die Spionagesoftware installiert. Genau das passierte offenbar im großen Stil auf der Suche nach bestimmten Daten.
Die Schadsoftware wurde via USB-Sticks verbreitet und nutzt Lücke in der CommandShell von Windows, um erweiterte Rechte zu bekommen. Irgendwie schafften die Cracker die Software mit einer durch Realtek erstellten Signatur glaubwürdig zu machen (Quelle: krebsonsecurity.com):
Ulasen said the malware installs two drivers: “mrxnet.sys” and “mrxcls.sys.” These so-called “rootkit” files are used to hide the malware itself so that it remains invisible on the USB storage device. Interestingly, Ulasen notes that both driver files are signed with the digital signature of Realtek Semiconductor Corp., a legitimate hi-tech company.
Jetzt interessiert mich natürlich, ob man rausfinden kann, wie die Signatur zu Stande kam?
Ist die Software erst mal installiert, sucht sie nach einer bestimmten Zugriffssoftware und schnüffelt rum. Sie nutzt, dass die Siemensanwendung offenbar in der Regel das Default-Passwort am SQL-Server nutzt (Quelle: Heise Online):
Darin steckten auch die Variablen UID=WinCCConnect und PWD. Nach Angaben des Antivirenherstellers F-Secure sollen WinCC-Anwender angehalten sein, diese Daten nicht zu ändern. Dies würde bedeuten, dass möglicherweise weltweit zahlreiche Systeme dieselben Zugangsdaten zur Datenbank aufweisen. Eine Antwort von Siemens auf eine Anfrage von heise Security steht noch aus.
Und warum macht man das? (Quelle: krebsonsecurity.com)
“Looks like this malware was made for espionage,” Boldewin said.
Die gefundenen Daten scheinen den Aufwand zu rechtfertigen…