Malware-Gefahr für Industriesysteme

Industroyer ist vielleicht die größte Bedrohung seit Stuxnet

| Redakteur: Peter Schmitz

Mit der Industroyer genannten Malware sind Cyberkriminelle in der Lage, Steuerungssysteme in Industrieanlagen anzugreifen.
Mit der Industroyer genannten Malware sind Cyberkriminelle in der Lage, Steuerungssysteme in Industrieanlagen anzugreifen. (Bild: ESET)

Der europäische Security-Software-Hersteller ESET hat eine Malware analysiert, die wahrscheinlich bei einem Cyberangriff auf das ukrainische Stromnetz im Dezember 2016 verwendet wurde. Der hochentwickelte Schädling nutzt industrielle Steuerungsprotokolle, die weltweit in der Energieinfrastruktur eingesetzt werden. Damit hat er das Potenzial, die größte Bedrohung seit Stuxnet zu werden.

Im Dezember 2015 fand ein Cyberangriff auf das Stromnetz der Ukraine statt. In Teilen Kiews gingen für eine Stunde die Lichter aus. Seitdem haben Forscher von ESET immer wieder Malware-Samples analysiert, die sie als Win32/Industroyer kennen. Die Experten für Cyber Security können noch nicht bestätigen, dass es sich bei dem Großversuch der Kriminellen um die gleiche Malware handelt, wie die, deren Samples sie nun analysiert haben. Unabhängig davon ist die Malware auf jeden Fall in der Lage, erhebliche Schäden an Stromversorgungssystemen zu verursachen. Außerdem kann die Schadsoftware auch für einen Cyberangriff auf andere Arten kritischer Infrastruktur umgerüstet werden.

Die Untersuchung der ESET Forscher ergab, dass die Malware in der Lage ist, Schaltanlagen in Umspannwerken und Leistungsschalter direkt zu kontrollieren. Damit sind Cyberkriminelle in der Lage, eine Reihe von Ausfällen auszulösen, die Stromversorgung zu unterbrechen und Anlagen schwer zu beschädigen. Es ist unwahrscheinlich, dass eine solche Malware ohne spezielles Equipment, welches auch in der anvisierten Industrie verwendet wird, geschrieben und getestet werden kann. Die Autoren von Industroyer müssen demnach über spezielle Kenntnisse über industrielle Kontrollsysteme verfügen.

Zur Steuerung der Schaltanlagen werden weltweit industrielle Kommunikationsprotokolle verwendet. Diese sind nicht nur in der Stromversorgungsinfrastruktur im Einsatz, sondern auch in Verkehrskontrollsystemen und in anderen kritischen Infrastrukturen wie Wasser und Gas. Die Schalter und Schutzeinrichtungen sind digitale Äquivalente von analogen Schaltern. Technisch sind sie so konstruiert, dass sie verschiedene Funktionen besitzen. Eine Störung solcher Systeme und Komponenten kann direkt oder indirekt das Funktionieren von lebenswichtigen Diensten beeinträchtigen. Die potenziellen Auswirkungen entstammen beispielsweise vom einfachen Ausschalten der Stromverteilung, von kaskadenförmigen Netzzusammenbrüchen oder von schwerwiegenden Beschädigungen der Hardware. Der Schweregrad kann von einer Umspannstation zur anderen variieren.

Industroyer ist eine modulare Malware. Ihre Kernkomponente ist eine Backdoor, die von Angreifern benutzt wird, um den Angriff zu bewältigen: Die Backdoor installiert und steuert die anderen Komponenten und verbindet sich mit einem entfernten Server, um Befehle zu empfangen und den Angreifern Bericht zu erstatten. Was Industroyer von anderer Malware abhebt, die es auf kritische Infrastrukturen abgesehen hat, ist die Verwendung von vier Nutzlastkomponenten (Payloads), die eine direkte Steuerung von Schaltern und Überstromschutzeinrichtungen an einer Stromverteilungsstation ermöglichen. Im Allgemeinen arbeiten die Nutzlasten in Stufen. Deren Ziel ist das Überwachen des Netzwerks. Im Anschluss erfolgt das Herausfinden relevanter Codes, die dann an die spezifischen industriellen Steuergeräte ausgegeben werden. Die Nutzlasten von Industroyer zeigen das fundierte Wissen der Malware Betreiber über industrielle Steuerungssysteme. Die Malware enthält ein paar weitere Funktionen, die dazu bestimmt sind, sie geheim zu halten. Es soll gewährleiste werden, dass sich alle Spuren nach erledigter Arbeit von selbst löschen.

“Der Angriff auf das ukrainische Stromnetz sollte als Warnsignal für jeden dienen, der für die Sicherheit kritischer Systeme verantwortlich ist. Die Fähigkeit von Industroyer, sich in einem System einzunisten und den Betrieb von Industrie-Hardware direkt zu stören, macht die Malware zur gefährlichsten Bedrohung für industrielle Infrastruktur seit dem berüchtigten Computerwurm Stuxnet“, erklärt Anton Cherepanov, Senior Malware Researcher bei ESET. Stuxnet wurde 2010 entdeckt und hatte zu diesem Zeitpunkt bereits erfolgreich Störungen im iranischen Atomprogramm verursacht.

Andere Security-Experten sehen die Lage nicht ganz so dramatisch. So meint John Chirhart, Federal Technical Director bei Tenable Network Security: „Industroyer wird als "das nächste Stuxnet" gehandelt. Bei einer derart ausgeklügelten Bedrohung sollte man davon ausgehen, dass sie bei zahlreiche Zero-Day-Attacken eingesetzt wurde. Es ist allerdings bisher noch kein derartiger Angriff bekannt, was die Bedeutung der Malware wieder relativiert. Die Sicherheit kritischer Infrastuktur, wie beispielsweise industrieller Steuerungssysteme, ist natürlich wichtig. Wir sollten allerdings nicht aus den Augen verlieren, dass Industroyer, WannaCry und ähnliche Malware in den sich ständig wandelnden Sicherheits-Umgebungen mittlerweile die Normalität sind.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44738004 / Malware)