Industroyer: Diese Malware soll Stromnetze angreifen

APTFilter AVGNews CERT-LatestNews FSecureNews KasperskyNews Malware McAfeeNews Security News SocialEngineering SophosNews SymantecNews ThreatsActivists ThreatsCybercrime ThreatsEconomic ThreatsStrategic TrendMicroNews Uncategorized VulnerabilitiesAdobe VulnerabilitiesAll VulnerabilitiesApple VulnerabilitiesApplications VulnerabilitiesCisco VulnerabilitiesCrypto VulnerabilitiesDBMS VulnerabilitiesFirmware VulnerabilitiesGoogle VulnerabilitiesHardware VulnerabilitiesLinux VulnerabilitiesMicrosoft VulnerabilitiesMozilla VulnerabilitiesNetwork VulnerabilitiesOS VulnerabilitiesVMWare VulnerabilitiesVOIP
Montag, 12.06.2017   20:46 Uhr

Am 17. Dezember 2016 ging im nördlichen Teil der ukrainischen Hauptstadt Kiew das Licht aus – flächendeckend. Der Grund war eine Cyberattacke auf das Versorgungsunternehmen UkrEnergo. Der Angriff wurde mit einer Software durchgeführt, deren Entwicklung so aufwendig war, dass dahinter staatliche Stellen vermutet werden.

Die Angreifer ließen ihre Tatwerkzeuge zurück, sodass unter anderem Sicherheitsforscher des Antivirenunternehmens ESET die “Industroyer” getaufte Schadsoftware analysieren konnten.

Das Besondere an Industroyer ist, dass der Schädling auf die in Umspannwerken gängigen ICS-Komponenten (Industrial Control System) optimiert worden ist. Die modular aufgebaute Malware kommuniziert ohne Umwege und standardkonform mit den in solchen Umgebungen gängigen Schaltern und Überspannungssicherungen verschiedener Hersteller.

Bei einem vergleichbaren Angriff im Jahr zuvor kam zweckentfremdete, herkömmliche Malware zum Einsatz, wie sie auch von Kriminellen für Online-Raubzüge verwendet wird.

Stromausfall nach Plan

Auch wenn die Autoren der Analyse das nicht explizit schreiben, so spricht doch viel dafür, dass die untersuchte Malware-Probe für den Stromausfall in der Ukraine im Dezember 2016 verantwortlich ist. Damit wäre Industroyer nach Stuxnet die zweite speziell für Industrieanlagen programmierte Schadsoftware, die auf eine aktive Anlage losgelassen wurde.

ESET wollte nicht bestätigen, dass der Schädling tatsächlich im Netz des ukrainischen Stromnetzbetreibers UkrEnergo gefunden wurde. Im Code eines der Module der Malware finden sich der Analyse zufolge aber zwei fest programmierte Daten: 17. und 20. Dezember 2016.

An diesen Tagen sollte die Malware in Aktion treten und unter anderem ein Modul starten, das mit den vor Ort installierten Industriesteuerungskomponenten kommuniziert. Nachdem die Umspannstation “North” von UkrEnergo am 17. Dezember ihren Dienst versagte, dürfte der untersuchte Schädling tatsächlich für den Ausfall verantwortlich sein.

Monatelang ausgehorcht

Um die Kommunikation mit den ICS-Komponenten verschiedener Hersteller, darunter ABB und Siemens, kümmern sich spezialisierte Module der Malware. Sie beherrschen die in Industrieumgebungen gängige Kommunikationsprotokolle. Industroyer missbraucht also keine Lücken in den ICS-Gerätschaften. Sondern spricht einfach in deren Sprache.

Damit die Module die jeweils passenden Kommandos zur Manipulation der Komponenten verschicken können, müssen die Angreifer zuvor das Netzwerk aushorchen. Dazu steuern sie ihre Software mittels zweier Hintertüren, die die Malware in das befallene System pflanzt. Eine dieser Hintertüren kommuniziert laut ESET verschlüsselt über das Tor-Netzwerk mit den Command & Control-Server der Angreifer und lässt sich so konfigurieren, dass sie nur außerhalb der Arbeitszeiten der Mitarbeiter im Umspannwerk aktiv wird.

Arbeitsschema der Industroyer-Malware

Eset

Arbeitsschema der Industroyer-Malware

Die Sicherheitsexpertin Marina Krotofil sagte schon im Januar, nach einer ersten Analyse des Angriffs auf UkrEnergo, dass die Angreifer wahrscheinlich monatelang im Netzwerk aktiv waren und so die notwendigen Parameter zusammentragen konnten. Malware-Fachmann Candid Wüest von Symantec ist auch dieser Ansicht. Er sagte gegenüber SPIEGEL ONLINE: “Wenn Malware-Module Befehle direkt an ICS-Systeme senden können, dann haben die Angreifer sehr gute Kenntnisse über das Zielsystem”. ESET zufolge lässt sich Industroyer durch seine Anpassungsfähigkeit in verschiedensten Umgebungen einsetzen, was seine Gefährlichkeit erhöhe.

Die Macher hinter dem Angriff überließen nichts dem Zufall, wie ein weiteres Modul aus ihrem Fundus belegt: Es ist speziell zum Ausschalten von Sicherungskomponenten wie den Siemens SIPROTEC-Geräten gemacht. Reagieren diese nicht mehr, fehlt der Umspannstation das Sicherungsnetz und ein Stromausfall ist unvermeidbar. Ob das Tool in der Ukraine zum Einsatz kam, ist derzeit nicht bekannt.

Schlamper oder Angeber?

Zur Modulsammlung gehört auch eine Löschfunktion. Sie könnte sämtliche Spuren des Angriffs verwischen, Konfigurationsdateien löschen und das Betriebssystem des befallenen Windows-PC in einen nicht startfähigen Zustand versetzen. Ob die Funktion ausfiel oder sie von den Angreifern gar nicht erst aktiviert wurde, ist unklar. Abgearbeitet wurde sie jedenfalls nicht, sonst wäre die Malware nicht aufgefunden worden.

Eventuell wollten die Angreifer aber auch nur ihre Fähigkeiten demonstrieren, indem sie die Werkzeuge zurückließen – wohl wissend, dass diese später analysiert würden. Die mit der Untersuchung von Industroyer betrauten Fachleute sind sich jedenfalls einig, dass monate- oder gar jahrelange Vorbereitung sowie eine Testumgebung mit Steuerungskomponenten verschiedener Hersteller nötig war, um die Malware zu entwickeln und zu testen.

Ob hinter der jüngsten Attacke auf das Stromnetz die gleichen Angreifer stecken, die ein Jahr zuvor ein anderes ukrainisches Energienetz angriffen, ist nicht klar. Für den Angriff im Jahr 2015 machten Fachleute die russische Hackergruppe Sandworm verantwortlich.

http://www.spiegel.de/netzwelt/web/industroyer-diese-malware-soll-stromnetze-angreifen-a-1151774.html#ref=rss

Tagged