F-Secure beleuchtet Verbreitungsweg von RAT-Trojaner

Angriffsmuster der SCADA- und ICS-Malware Havex

| Redakteur: Stephan Augsten

Lichtblick: F-Secure hat herausgefunden, wie sich die Malware-Familie Havex maßgeblich verbreitet.
Lichtblick: F-Secure hat herausgefunden, wie sich die Malware-Familie Havex maßgeblich verbreitet. (Bild: Archiv)

Virenforscher von F-Secure haben nach eigenen Angaben die Angriffsmuster der Malware-Familie Havex weitestgehend enttarnt. Diese zielt insbesondere auf SCADA-Systeme und andere industriellen Kontrollsysteme ab. Die verantwortlichen Cyber-Kriminellen verwenden laut F-Secure einen innovativen Trojaner-Ansatz.

„Im Frühjahr 2014 haben wir festgestellt, dass Havex ein besonderes Interesse an Industrial-Control-Systemen hat“, erklärt Sean Sullivan vom F-Secure Lab. Zunächst einmal platzieren die Angreifer eine Trojaner-Software auf den Webseiten von ICS-Herstellern. Damit sollen laut dem Antivirus-Anbieter F-Secure wiederum Computer infiziert werden, die an ICS-Umgebungen angebunden sind.

Dies entspreche der „Watering-Hole“-Methode, bei der die Opfer in Analogie zu Wildtieren an die „Wasserstelle“ gelockt werden, wo der Feind lauert. Die Angreifer missbrauchen dabei vermutlich Schwachstellen in Web-Hosting-Plattformen, um zum Download bereitgestellte Software-Installer durch infizierte zu ersetzen.

Für die Angriffe sind zwei Hauptkomponenten nötig: ein Remote Access Tool Trojan (RAT-Trojaner) und ein Server mit der Skriptsprache PHP. Aus Mangel an Betriebserfahrung gelingt es ihnen jedoch nicht immer, die C&C-Server in einer professionellen Art und Weise zu steuern. Eine zusätzliche Komponente ist schädlicher Code, der es erlaubt, Daten von infizierten Rechnern in industriellen Steuerungssystemen abzugreifen.

Mehrere Infektionen in Europa

F-Secure gelang es nun, aufgrund verdächtiger Aktivitäten infizierte Computer zu identifizieren, die mit diesen Servern in Verbindung treten. Dabei konnten die Antivirus-Experten bestimmte Angriffsziele in verschiedenen Branchen aufspüren.

„Unsere bisherige Analyse hat ergeben, dass Websites von drei Softwareanbietern auf diese Weise kompromittiert wurden“, unterstreicht Sean Sullivan. „Alle drei Unternehmen beschäftigen sich mit der Entwicklung von Anwendungen und Hardware für den industriellen Einsatz. Die Unternehmen stammen aus Deutschland, der Schweiz und Belgien.”

Die eigentlichen Angriffsziele sind aber natürlich Unternehmen und Institutionen, die industrielle Anwendungen oder Maschinen entwickeln oder einsetzen. „Die Mehrheit befindet sich in Europa“, warnt Sullivan. Dabei handele es sich um zwei wichtige Bildungseinrichtungen in Frankreich, zwei deutsche Hersteller von industriellen Anwendungen und Maschinen, einen französischen Maschinenhersteller und ein russisches Bauunternehmen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42763750 / Malware)