Industrielle Kontrollsysteme im Fokus eines Trojaners

Hintergründe zu Dragonfly und Havex

| Autor / Redakteur: Karl Schrade / Stephan Augsten

Der Remote-Access-Trojaner Havex hat es insbesondere auf die Anlagen von Energieversorgern abgesehen.
Der Remote-Access-Trojaner Havex hat es insbesondere auf die Anlagen von Energieversorgern abgesehen. (Bild: Thorsten Schier - Fotolia.com)

Über die Cyber-Kriminellen von Dragonfly und deren Remote-Access-Trojaner Havex alias Oldrea wurden in jüngster Zeit mehr und mehr Informationen veröffentlicht. Worauf genau haben es die Malware-Autoren abgesehen? Und wer trägt die Mitschuld an der Verbreitung des Schadcodes. Dieser Beitrag befasst sich mit den Zusammenhängen.

Zunächst schrieb F-Secure einen Blog-Eintrag über Havex. Der Schadcode ist kategorisiert als Remote-Access-Trojaner (RAT), mit dem es letztendlich möglich ist, ein infiziertes System unter administrative Kontrolle zu bringen und fernzusteuern. Eine weitere Aufgabe von Havex ist offensichtlich das Mitlesen von Netzwerkverkehr.

Der Fokus liegt dabei interessanterweise auf speziellen Protokollen wie z.B. OLE for Process Control (OPC), die für ICS- und SCADA-Komponenten eingesetzt werden. Darüber hinaus dient der RAT dazu, weitere Malware mit beliebigen Funktionen nachzuladen. Verbreitet wird Havex auf mehreren Wegen, bislang sind zumindest diese drei bekannt:

  • E-Mail bzw. Spear Phishing
  • Waterhole-Angriffe
  • infizierte Software von bestimmten Herstellern/Anbietern

Kurz darauf veröffentlichte Symantec eine detaillierte Analyse zu Havex (alias Oldrea) und einer Gruppe namens Dragonfly, auch bekannt als Energetic Bear, die offensichtlich hinter den Infektionen steckt. Vieles spricht dafür, dass es sich hierbei um eine zielgerichtete Attacke handelt, die letztendlich als Vorbereitung eines breit angelegten Angriffs auf die Energieversorger insbesondere in West-Europa dient.

Weitere Informationen untermauern diese Einschätzung. Nach heutigem Informationsstand muss von hunderten bis tausenden von infizierten ICS- bzw. SCADA-Komponenten ausgegangen werden, die Teil eines über eine entsprechende C&C-Infrastruktur (Command & Control) gesteuerten Botnetzes sind.

Versäumnisse der Anlagenbauer

Ungeachtet der technischen Hintergründe der Attacke zeigt sich, dass insbesondere im Bereich der Fernwartung von ICS- und SCADA-Komponenten eine echte Sicherheitsstrategie nicht zum Tragen kommt. So liefert eine entsprechend konfigurierte Suche über Google Search oder Shodan – eine dedizierte Suchmaschine für Systeme und Maschinen – Verweise auf direkt an das Internet angeschlossene ICS- und SCADA-Systeme.

Leider lässt sich bei vielen dieser Systeme auch noch nachvollziehen, dass sie mithilfe unverschlüsselter Protokolle über das Internet gewartet werden. Oftmals werden sogar typische ICS- und SCADA-Protokolle ohne Einschränkungen der Kommunikation angeboten, über die sich Parameter der Komponenten direkt verändern lassen.

Selbst wenn sogenannte Industrial VPN Gateways zum Einsatz kommen – und solche stehen offensichtlich im Fokus der Attacke – muss man sich als Betreiber (aber auch als Hersteller) wichtige Fragen stellen bzw. stellen lassen:

  • Warum war es möglich, die Software des Herstellers zu infizieren und dann über dessen Download-Seiten zu verbreiten? Dies geschah anscheinend teilweise sogar über Monate hinweg.
  • Warum haben hier Change- bzw. Configuration-Management-Prozesse auf Seiten der Betreiber nicht gegriffen? Vorausgesetzt es gibt welche.
  • Warum hängen Fernwartungskomponenten direkt am Internet und erlauben offensichtlich eine ungehinderte, oft unverschlüsselte Kommunikation mit dem gesamten Internet? Sowohl ein- als auch ausgehend, was in diesem Fall als schlimmer angesehen werden muss, da hierüber die Kommunikation mit der C&C-Infrastruktur abläuft.

Vor dem Hintergrund von Industrie 4.0 muss allen Beteiligten klar werden, dass eine Sicherheitsstrategie über alle Bereiche eines Unternehmens etabliert und gelebt werden muss. Diese Strategie ist notwendige Grundlage von Maßnahmen und Prozessen, sowohl technologischer als auch organisatorischer Art. Und für diese Strategie ist das Management eines jeden Unternehmens verantwortlich, nicht die IT und schon gar nicht die Instandhaltung.

Wer auch immer hinter Dragonfly steckt, es gibt einige Hinweise auf Organisationen aus Ost-Europa, dieser Fall zeigt deutlich auf, dass Angriffe auf Betreiber kritischer Infrastrukturen als eine effiziente Waffe im Cyberwar angesehen werden und zukünftig auch als solche dienen werden. Egal ob von staatlicher Seite getrieben, oder von einer Art Cybermafia, um Unternehmen zu erpressen.

In diesem Zusammenhang muss auf die eindringlichen Worte von Prof. Udo Helmbrecht, Executive Director ENISA verwiesen werden: „Es gibt eine offensichtliche Notwendigkeit, die Sicherheit in kritischen Informationsinfrastrukturen und ICS-Systemen zu erhöhen. […] Allen beteiligten öffentlichen und privaten Einrichtungen wird dringend empfohlen, diese Sicherheitsbedenken ernst zu nehmen“.

Das im Buch „Blackout“ von Marc Elsberg beschriebene Szenario ist keine Fiktion, sondern wird in naher Zukunft leider Realität werden, solange hier kein Umdenken im Management stattfindet. Bleibt zu hoffen, dass das IT-Sicherheitsgesetz für Betreiber kritischer Infrastrukturen so schnell wie möglich verabschiedet wird, um den notwendigen Druck zu erzeugen.

Über den Autor

Karl Schrade ist (ISC)²-zertifizierter CISSP und Senior Solution Architect bei NTT Com Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42843313 / Malware)