Hacker kapern Energieunternehmen in Deutschland und Europa

Über Malware konnten sich Hacker dauerhaften Zugang zu Unternehmen aus der Energiebranche verschaffen. Betroffen sind vor allem Unternehmen aus Spanien, Italien, Frankreich, Deutschland, Türkei und Polen. Symantec vergleicht den Angriff mit der Suxtnet-Attacke. Allerdings scheinen in diesem Fall andere Kräfte hinter den Attacken zu stehen.

Das Sicherheitsunternehmen Symantec berichtet in einem Blog von einer großangelegten Attacke, die offenbar den Ursprung in Osteuropa hat. Bereits vor einigen Tagen hatte das finnische Sicherheitsunternehmen F-Secure von dieser Attacke berichtet. Jetzt warnt auch das zum Department of Homeland Security gehörende Industrial Control Systems Emergency Response Team (ICS-CERT) in einem Advisory vor der Attacke. Die Warnung basiert auf der Analyse von F-Secure.

Laut der Analyse von Symantec scheint die Attacke deutlich ausgedehnter zu sein, als von F-Secure beschrieben. So scheinen deutlich mehr Unternehmen in deutlich mehr Ländern nach wie vor von den Angriffen betroffen zu sein. Symantec führt diesen Angriff auf die Dragonfly-Gruppe zurück, die auch unter dem Namen Energetic Bear bekannt ist.

Trojaner Havex Remote Access Trojan (RAT) über mbcheck.dll erkennnen. Quelle: F-Secure
Auf infizierten Systemen lassen sich die insgesamt 88 Varianten des Industrie-Spionage-Trojaner Havex Remote Access Trojan (RAT) über mbcheck.dll erkennnen. Quelle: F-Secure

Die Attacke lasse sich bis in das Jahr 2011 zurückverfolgen. Zunächst standen offenbar vor allem kanadische und US-amerikanische Rüstungs- und Flugzeug-Unternehmen auf der Liste der Angreifer. Seit 2013 aber scheinen vor allem Unternehmen in USA und Europa aus dem Energiesektor in das Visier der Hacker zu geraten, wie die Sicherheitsexperten erklären.

“Dragonfly trägt den Stempel einer staatlichen Attacke, mit einem hohen Grad von technischem Wissen. Diese Gruppe kann Attacken über verschiedene Vektoren ausführen und ist auch in der Lage, in diesen Prozessen zahlreiche Webseiten von Dritten zu übernehmen”, heißt es in einem Symantec-Blog.

Die Dragonfly-Gruppe habe bereits seit langer Zeit zahlreiche Unternehmen aus der Energiebranche angegriffen. “Das aktuelle Hauptmotiv scheint Cyberspionage zu sein, und die Möglichkeit zur Sabotage scheint klar eine weitere Fähigkeit zu sein”, so die Symantec-Forscher weiter. In diesem Punkt scheint sich Havex/Energetic Bear/Oldrea auch von der Stuxnet-Attacke im Jahr 2009 zu unterscheiden, die offensichtlich primär auf das iranische Atomprogramm abzielte.

Wie auch in der Analyse von F-Secure des Havex-Schädlings bereits festgehalten, haben die Angreifer für die Verbreitung ihrer Attacke nicht nur Spam-Mails und Branchen-Websites infiltriert, sondern sogar die Download-Bereiche von Herstellern von Industriesteuerungssystemen (ICS) kompromittiert und dort legitime Downloads gegen infizierte Dateien ausgetauscht.

Zunächst aber seien die Rechner der betroffenen mit den Exploit Kits ‘Lightsout’ und ‘Hello’ infiziert worden. Diese Dateien enthalten den Schädling Havex, Backdoor.Oldrea oder Energetic Bear. Über diesen Trojaner können die Angreifer Informationen aus den Rechnern aber auch aus den Systemen an die Command and Control Server der Hacker weiterleiten.

Die von Energetic Bear/Havex/Dragonfly betroffenen Länder. Neben Unternehmen aus dem Energiesektor sollen immer wieder auch Investmentfirmen im Fokus der Hacker gestanden haben. Quelle: Symantec
Auch Deutschland ist betroffen: Die von Energetic Bear/Havex/Dragonfly betroffenen Länder. Neben Unternehmen aus dem Energiesektor sollen immer wieder auch Investmentfirmen im Fokus der Hacker gestanden haben. Quelle: Symantec

Auch Symantec schweigt sich über die Identität der infizierten ICS-Anbieter aus. Laut F-Secure handelt es sich um Hersteller in Deutschland, Schweiz und Belgien.

Ein Unternehmen liefere laut Symantec VPN-Zugriff auf programmierbare Logic Controller (PLC).Der infizierte Download sei schnell entdeckt worden. Dennoch sei die Datei 250 herunter geladen worden. Ein weiteres betroffenes Unternehmen sei ein Hersteller von PLC-Geräten. Auf der Webseite des Herstellers sei der Trojaner im Juni und Juli 2013 etwa für sechs Wochen zum Download bereit gestanden. Das dritte Unternehmen soll laut Symantec ein Entwickler eines Management-Systems für Bio-Gas-Anlagen und Wind-Turbinen sein. Die Betroffene Software soll im April 2014 etwa zehn Tage lang zum Download bereit gestanden haben.

Symantec aber will Opfer der Attacke in Deutschland, Spanien, Italien, Frankreich, Türkei, Polen und den USA gefunden haben. Die ausgespähten Unternehmen sollen Stromnetzbetreiber, Stromlieferanten, Betreiber von Pipelines und andere Energie-Unternehmen sein. Das US-Sicherheitsunternehmen CrowdStrike hatte bereits 2013 von den Hackeraktivitäten im Energiesektor berichtet.

Die Sicherheitsforscher verorten den Ursprung der Attacke in Russland. Der Zeitstempel, den CrowdStrike aus den Attacken herauslesen konnte, scheint zu einer osteuropäischen Zeitzone zu passen. Zudem scheinen die Hacker in Schichten von 9 bis 18 Uhr gearbeitet zu haben. Auch das spreche für eine staatliche Beteiligung, erklären die Sicherheitsexperten.

Auf infizierten Web-Servern ist Havex leicht zu entdecken. Quelle: F-Secure
Auf infizierten Web-Servern ist Havex leicht zu entdecken. Quelle: F-Secure

Bislang habe es noch keine Hinweise darauf gegeben, dass die Angreifer, größeren Schaden anrichten wollen. Derzeit schien es eher darum zu gehen, möglichst viel über diese Unternehmen und die Branche herauszufinden.

In einem Interview mit der New York Times erklärte Adam Meyers, Chef der Sicherheitsforschung bei CrowdStrike, dass diese Hacker in jüngster Vergangenheit auch Unternehmen aus dem Finanzsektor angreifen würden. Die Angriffe hätten über so genannte Wasserloch-Angriffe auf Seiten statt gefunden, auf denen sich Investoren über Unternehmen aus dem Energiesektor informieren. Erst wenn sich der infizierte PC als lohnendes Ziel herausstellte, so Meyer, hätten die Angreifer ihre Schadsoftware aufgespielt. In anderen Fällen hätten die Hacker die Programme vom Rechner gelöscht.

Meyer nennt die Angriffe “sehr aggressiv” und die Angreifer würden großen Wert darauf legen, nicht entdeckt zu werden. Allerdings sei auch Sabotage eine Möglichkeit, den Schädling auszunutzen, warnt Meyer.

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.