Analyse des SANS Institute

Wie lief der Angriff auf das Stromnetz der Ukraine?

| Autor / Redakteur: Robert M. Lee* / Stephan Augsten

War die gefundene Malware direkt involviert?

Von einer dritten vertrauenswürdigen Instanz haben wir ein Sample der Malware erhalten und analysiert, die in den beeinträchtigten Netzwerken gefunden wurde. Wir sind immer noch unschlüssig, ob die Schadsoftware direkt für den Angriff genutzt wurde. Es gibt Belege, die das nahelegen, aber es ist zu früh, um hier eine abschließende Aussage zu treffen.

Die Malware ist eine ausführbare Datei (Executable) für 32-Bit-Windows-Systeme und modular aufgebaut. Letzteres macht die Analyse sehr komplex. Es scheint, dass die Angreifer Schritte unternommen haben, um einige auffallend verdächtige APIs zu verschleiern.

Die Schadsoftware hat nicht alle Funktionen genutzt, die importiert wurden, und es gibt keine Querverweise für Service-verwandte Aufrufe, sondern lediglich Querverweise zu anderen dynamisch angeschlossenen APIs. Außerdem sieht es so aus, dass Teile des Programmiercodes von anderen Programmen abgekupfert wurden.

In der Community wurden Gerüchte verbreitet, dass der KillDisk Wiper involviert war. Eine Theorie ist, dass sich die Malware zwar im Netzwerk befand, aber nicht aktiviert wurde. Die andere ist, dass sie direkt involviert war.

Wir haben eine dritte Theorie, in der wir annehmen, dass die Malware den Angriff erst ermöglicht hat, aber nicht der Auslöser für den Stromausfall war. Derzeit gehen wir davon aus, dass die Malware außerdem dafür genutzt wurde, Dateien zu löschen, die wiederum dafür genutzt wurden, die Wiederherstellung des SCADA-Systems zu blockieren. Damit sollten die Auswirkungen des Angriffs verstärkt und die Wiederherstellung aufgehalten werden.

Was Teile der Community zum Angriff sagen

Es scheint, basierend auf weiteren Berichten, dass die Angriffe mit einer Spear-Phishing E-Mail ausgelöst wurden. Die E-Mail scheint einen Absender aus dem ukrainischen Parlament imitiert zu haben und es gab ein gefälschtes Word-Dokument, das den Empfänger dazu bewegt hat, es zu öffnen.

Die Opfer wurden per Social Engineering ausgespäht, so dass man die Angriffe als gezielt bezeichnen könnte. Die einmal installierte Malware hat weitere Malware mit einer Funktion heruntergeladen, um den ausgeführten Code danach zu löschen (KillDisk). Diese Funktion, Wiper genannt, erschwert die spätere forensische Analyse.

Es scheint außerdem, dass durch diese Funktion die grundlegenden Module, die das Herz des Angriffs darstellten, gelöscht wurden. Das sind die derzeitigen Annahmen der Community und nicht unsere, wir haben diese Annahmen lediglich aufgeführt, um sie zusammenzufassen.

Unsere Sicht auf die Umstände des Angriffs

Wie bereits zuvor festgestellt, gibt es keinen Hinweis, dass bösartige Dokumente wie Word oder Excel von der BlackEnergy- oder Sandworm-Kampagne eine Rolle in dem Vorfall gespielt haben. BlackEnergy, speziell BlackEnergy3, wurde aus dem betroffenen Netzwerk wiederhergestellt, deshalb war das Sandworm-Team in dieser Umgebung aktiv.

Wie auch immer, ob sie eine Rolle in dem Angriff gespielt haben oder nicht, das muss immer noch abschließend festgestellt werden. Unsere Haupttheorie besagt, dass die Malware dafür genutzt wurde, dem Angreifer Zugang zur Umgebung zu verschaffen. Mit dem Zugang sollte er seine Attacke mit direktem Fernzugriff auf die Systeme ausführen.

Dies könnte durch das Öffnen und Schließen von Schaltern erfolgt sein, allerdings braucht es hier noch weitere forensische Ergebnisse, um es zu beweisen. Die Malware hat darüber hinaus vermutlich die arbeitenden SCADA-Systeme, eine Vielzahl an Arbeitsstationen und Server infiziert. Wir gehen davon aus, dass der Angreifer die Malware auch genutzt hat, um die Kraftwerkseinsatzplanung zu täuschen und die SCADA-System-Hosts zu zerstören (Workstations und Server).

Ein DoS flutete das Call Center, um Verbrauchern die Möglichkeit zu nehmen, den Stromausfall zu melden. Im Wesentlichen haben die Angreifer – wie es aussieht den – Schaden per Remote-Zugriff ausgelöst und die Malware dafür genutzt, um sich Zugriff zu verschaffen. Weitere Malware wurde für einen DoS genutzt, um das Betriebspersonal zu täuschen.

Fazit

Es gibt immer noch keinen Hinweis, dass die Angreifer von einer regierungsnahen oder politischen Organisation stammen. Nach unseren Recherchen und denen der Community, scheint es so, dass es eine Cyber-Attacke war. Demnach hätten wir den dritten erfolgreichen Cyber-Angriff auf Industriekontrollsysteme (ICS) seit Stuxnet und dem Angriff auf das Stahlwerk in Deutschland.

Das ukrainische Betreiberpersonal hat gut reagiert und die Energieversorgung schnell wiederhergestellt, ohne die SCADA-DMS-Systeme nutzen zu können. Nichtsdestoweniger sollten sich Energieversorgungs-unternehmen vorbereiten und Maßnahmen ergreifen, um ihre Netzwerk und im besonderen ihre Übertragungs- und Verteilungssysteme sowie Anlagen zu sichern.

Die koordinierten Cyber-Attacken zeigen uns, dass sie aus verschiedenen Elementen bestanden und dass sie zielgerichtet sowie sehr gut voraus geplant waren. Betreiber kritischer Infrastrukturen müssen lernen, wie man solche Vorfälle entdeckt, auf diese reagiert und die ausgefallen Systeme wieder zurückgewinnt. Unser Team wird die von der Community verfügbar gemachten Ressourcen weiter auswerten, um unser Verständnis dieser Angriffe zu erweitern und entsprechende Abwehrstrategien zu entwickeln.

Eine Möglichkeit dies zu tun, ist eine Monitoring-Strategie aufzusetzen, um Vorgänge im Netzwerk zu untersuchen. Darüber hinaus empfehlen wir Trainings für die Sicherheitsverantwortlichen, um im Falle eines Angriffs erste Analysen und schnelle Gegenmaßnahmen selbst ergreifen zu können. Darüber hinaus sollten sie auf die möglichen Folgen des Angriffs vorbereitet sein. Ein Beispiel für ein solches Training ist der SANS-Kurs ICS515.

Wir werden weitere Informationen auf dem SANS ICS Summit in den USA veröffentlichen, darunter einen kompletten Abriss, was wir derzeit wissen und welche Erkenntnis das für die Community bedeutet. Letztlich braucht es jedoch die Mithilfe aller, um solche Vorfälle aufzuklären, umfassend zu verstehen und effektive Strategien zu deren Abwehr zu entwickeln.

* Robert M. Lee ist Trainer für ICS515 am SANS Institute.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43840384 / Sicherheitsvorfälle)