Digital Life 16.07.2016

Malware-Angriff auf europäische Energiekonzerne

SCADA Systeme und sonstige Steueranlagen von Energiekonzernen werden mit einer neuartigen Malware angegriffen. © Bild: REUTERS/Kacper Pempel

In einem ersten europäischen Energiekonzern wurde eine neuartige Malware-Variante entdeckt, die unter anderem SCADA-Systeme angreifen und einen Blackout verursachen kann.

„Blackout“ - das Buch von Marc Elsberg ist vielen ein Name. So einen Strom-Blackout könnte jetzt auch eine neuwertige Malware hervorrufen, wie Sicherheitsexperten von SentinelOne herausgefunden haben. Sie haben eine Malware entdeckt, die das Steuerungssystem der industriellen Automatisierung infiziert und als Virus-Dropper die Freisetzung von Nutzdaten ermöglicht. Auf diese Weise kann es zu einem völligen Blackout des Energienetzes kommen.

Staatlicher Angriff aus Osteuropa

Beim Reverse Engineering der Malware sind die Experten zu dem Schluss gekommen, dass es sich bei der Malware um einen staatlichen Auftrag gehandelt haben muss. Die Experten vermuten „eines osteuropäischen Landes“. "Die Ausgereiftheit der Malware und die Kosten, die mit der Entwicklung einer derart raffinierten Software verbunden sind, sprechen eindeutig für einen nationalstaatlichen Angriff", sagt Udi Shamir, Chief Security Officer von SentinelOne.

Laut den Forschern ist die Software Teil eines raffinierten, mehrstufigen und gezielten Angriffs, der typischerweise aus drei Phasen besteht: Die Umgehung bestehender Abwehrmaßnahmen, die Erkundung der anvisierten Netzwerkstruktur und Rückinformation an den Command-and-Control-Server sowie das Abgreifen der Nutzdaten.

Windows-Lücken

Die Malware zielt dabei auf Geräte mit Windows-Software und wurde speziell dafür entwickelt, traditionelle Antivirus-Software und Firewalls zu umgehen. Die Malware nutzt dabei die Windows-Lücken CVE-2014-4113 und CVE-2015-1701 aus, die von Microsoft im Oktober 2014 und Mai 2015 gepatcht wurden.

Darüber hinaus ist die Malware dafür gerüstet, Sandbox-Umgebungen sowie Systeme, die biometrische Zugangskontrollen nutzen, zu erkennen. In diesem Fall ist die Software in der Lage, sich selbst wieder zu verschlüsseln und ihre Tätigkeit bis zum Entfernen aus der Versuchsumgebung einzustellen, um ihre Entdeckung zu verhindern.

Weitere Angriffe auf Infrastruktur

Die im Mai identifizierte Schadsoftware Furtim hat sich nun als Teil dieser bisher unbekannten Malware herausgestellt, die entsprechend Furtim´s Parent genannt wird. Die Entdeckung der Malware liefert neue Erkenntnisse zu jüngeren Angriffe auf kritische staatliche Infrastrukturen sowie dem Komplexitätsniveau ausgefeilter Verschleierungsmethoden. Die Sicherheitexperten gehen davon aus, dass auch weitere Unternehmen von dem äußerst seltenen Malware-Sample infiziert worden sind.

Erst am Freitag haben Journalisten von golem.de in Zusammenarbeit mit Sicherheitsexperten Steuerungssysteme im Internet gesucht, die kaum oder nicht geschützt über das Internet erreichbar sind. Sie haben weltweit über 100 solcher Anlagen aufgespürt, darunter Kraftwerke in Deutschland und Österreich, Wasserwerke, Gebäudeautomatisierungssysteme und Industriesteuerungsanlagen.

( futurezone ) Erstellt am 16.07.2016