Malware wird immer raffinierter

Der hochentwickelte Trojaner Industroyer nutzt nicht Sicherheitslücken in ICS-Geräten aus, er spricht ihre Sprache

Datum
15. Juni 2017
Autor

Eine Woche vor Weihnachten 2016 fiel im Norden der ukrainischen Hauptstadt Kiew (wieder einmal) das Stromnetz flächendeckend aus. Wie die Sicherheitsexperten des Antivirenprogrammherstellers ESET jetzt bestätigten, steckt hinter dem Ausfall ein gezielter Angriff mit einem besonders raffinierten Trojaner.

ESET beschreibt den Trojaner als «zweites Stuxnet», als Schadcode, der speziell für gezielte Angriffe auf die kritische Infrastruktur eines Landes entwickelt worden ist. Industroyer greift die industrielle Steuerungssoftware (SCADA) von Umspannwerken an. Er beherrscht in Industrieumgebungen gängige Kommunikationsprotokolle wie IEC 60870-5-101, IEC 61850, IEC 60870-5-104 oder OPC DA. Der Trojaner nutzt keine Lücken in den ICS-Geräten aus, er spricht ihre Sprache und kommuniziert mit den ICS-Kommunikation verschiedener Hersteller, darunter ABB und Siemens.

Darum vermuten die ESET-Fachleute, dass die Angreifer das Netzwerk des Energieversorgers Ukrenergo ausspioniert und sich in einer Testumgebung vorbereitet haben. Der Trojaner soll über eine von zwei Hintertüren im Netzwerk über das Tor-Netzwerk verschlüsselt mit dem Server der Angreifer kommuniziert haben. Der Schadcode sei so programmiert worden, dass er nur außerhalb der Arbeitszeiten im Umspannwerk aktiv war und so unbemerkt aktiv sein konnte.

Der Schadcode ist hoch entwickelt. Er enthält unter anderem eine Löschfunktion, die alle Spuren hätte verwischen, die Konfigurationsdateien löschen und das Betriebssystem des befallenen Windows-Rechners in einen nicht startfähigen Zustand hätte versetzen sollen. Warum die Löschfunktion bei diesem Angriff nicht ausgeführt worden ist, ist bis heute unklar. Die einfachste Erklärung ist, dass sie nicht funktioniert hat, die wahrscheinlichste, dass die Angreifer sie der Prahlerei und Propaganda willen bewusst nicht ausgeführt haben.

Einschätzung

Der Aufwand der Angreifer ist riesig. Darum liegt der Schluss nahe, dass ein Staat oder eine Behörde hinter dem Angriff stehen könnte. Die Angreifer haben nicht nur das Netzwerk wochen- oder monatelang infiltriert, sie haben sich auch monate- oder jahrelang auf den Angriff vorbereitet. Höchstwahrscheinlich in einer Testumgebung mit denselben Steuerungskomponenten, die im Umspannwerk eingesetzt werden. Unabhängig davon, ob ein Staat, eine Behörde oder kriminelle Hacker hinter Industroyer stehen, eines ist klar: Die Angreifer und ihre Trojaner werden immer raffinierter. Wer den Angreifern einen Schritt voraus sein will, muss seine Infrastrukturen, Prozesse sowie Informationen umfassend und strukturiert schützen. Die Basis dafür ist ein Managementsystem für Informationssicherheit.

Zielgruppen

  • Management
  • IT- und IS-Verantwortliche
  • Interessierte Kreise