Malware-Angriff auf europäische Energiekonzerne
Dieser Artikel ist älter als ein Jahr!
„Blackout“ - das Buch von Marc Elsberg ist vielen ein Name. So einen Strom-Blackout könnte jetzt auch eine neuwertige Malware hervorrufen, wie Sicherheitsexperten von SentinelOne herausgefunden haben. Sie haben eine Malware entdeckt, die das Steuerungssystem der industriellen Automatisierung infiziert und als Virus-Dropper die Freisetzung von Nutzdaten ermöglicht. Auf diese Weise kann es zu einem völligen Blackout des Energienetzes kommen.
Staatlicher Angriff aus Osteuropa
Beim Reverse Engineering der Malware sind die Experten zu dem Schluss gekommen, dass es sich bei der Malware um einen staatlichen Auftrag gehandelt haben muss. Die Experten vermuten „eines osteuropäischen Landes“. "Die Ausgereiftheit der Malware und die Kosten, die mit der Entwicklung einer derart raffinierten Software verbunden sind, sprechen eindeutig für einen nationalstaatlichen Angriff", sagt Udi Shamir, Chief Security Officer von SentinelOne.
Laut den Forschern ist die Software Teil eines raffinierten, mehrstufigen und gezielten Angriffs, der typischerweise aus drei Phasen besteht: Die Umgehung bestehender Abwehrmaßnahmen, die Erkundung der anvisierten Netzwerkstruktur und Rückinformation an den Command-and-Control-Server sowie das Abgreifen der Nutzdaten.
Windows-Lücken
Die Malware zielt dabei auf Geräte mit Windows-Software und wurde speziell dafür entwickelt, traditionelle Antivirus-Software und Firewalls zu umgehen. Die Malware nutzt dabei die Windows-Lücken CVE-2014-4113 und CVE-2015-1701 aus, die von Microsoft im Oktober 2014 und Mai 2015 gepatcht wurden.
Darüber hinaus ist die Malware dafür gerüstet, Sandbox-Umgebungen sowie Systeme, die biometrische Zugangskontrollen nutzen, zu erkennen. In diesem Fall ist die Software in der Lage, sich selbst wieder zu verschlüsseln und ihre Tätigkeit bis zum Entfernen aus der Versuchsumgebung einzustellen, um ihre Entdeckung zu verhindern.
Weitere Angriffe auf Infrastruktur
Die im Mai identifizierte Schadsoftware Furtim hat sich nun als Teil dieser bisher unbekannten Malware herausgestellt, die entsprechend Furtim´s Parent genannt wird. Die Entdeckung der Malware liefert neue Erkenntnisse zu jüngeren Angriffe auf kritische staatliche Infrastrukturen sowie dem Komplexitätsniveau ausgefeilter Verschleierungsmethoden. Die Sicherheitexperten gehen davon aus, dass auch weitere Unternehmen von dem äußerst seltenen Malware-Sample infiziert worden sind.
Erst am Freitag haben Journalisten von golem.de in Zusammenarbeit mit Sicherheitsexperten Steuerungssysteme im Internet gesucht, die kaum oder nicht geschützt über das Internet erreichbar sind. Sie haben weltweit über 100 solcher Anlagen aufgespürt, darunter Kraftwerke in Deutschland und Österreich, Wasserwerke, Gebäudeautomatisierungssysteme und Industriesteuerungsanlagen.
Kommentare