Erneut Malware für SCADA-Systeme von Siemens entdeckt

Peter Marwan,
Malware (Bild: Shutterstock.com/Maksim Kabakou)

Die von ihren Entdeckern bei Fireeye Irongate genannte Malware nutzt auch Techniken, die von Stuxnet her bekannt sind. Bisher konnte Irongate keinen durchgeführten Angriffen zugeordnet werden. Fireeye geht daher von einem Proof of Concept aus.

Das IT-Sicherheitsunternehmen FireEye hat auf eine von ihm jetzt entdeckte Schadsoftware hingewiesen, die offenbar für Angriffe auf SCADA-Systeme (Supervisory Control and Data Acquisition) von Siemens konzipiert wurde. Ähnlich wie die nach aktuellem Kenntnisstand von den USA und Israel entwickelte Malware Stuxnet, mit der Irans Nuklearprogramm sabotiert wurde, kann auch Irongate tatsächliche Daten über Industrieprozesse verbergen. Indem die Industriekontrollsysteme so unvollständige oder gar falsche Angaben erhalten, lässt sich ihre Steuerung beeinflussen.

Erneut Malware für SCADA-Systeme von Siemens entdeckt (Bild: Shutterstock)

Die von den Fireeye-Forschern “Irongate” genannte Malwarefamilie bemerkten sie erstmals in der zweiten Hälfte des Jahres 2015. Sie war damals in die Datenbank von VirusTotal eingereicht worden. Mehrere Personen hatten dort allerdings schon 2014 zwei Varianten von Irongate hochgeladen. Zu dem Zeitpunkt stufte keine Antivirensoftware die Malware als gefährlich ein.

Das Siemens ProductCERT erklärt, dass Irongate auch jetzt nicht gegen SCADA-Systeme von Siemens eingesetzt werden kann. Irongate nutze keine Schwachstellen in Siemens-Produkten aus. Auch FireEye weist darauf hin, das Irongate bisher hinter keinen Angriffen ausgemacht werden konnte. “Wir räumen ein, das Irongate ein Test, ein Proof of Concept oder ein Forschungsprojekt für Angriffe auf Industriekontrollsysteme sein könnte”, so das Unternehmen.

FireEye (Bild: FireEye)

Die Schadsoftware bringt allerdings Funktionen mit, die bei Industriekontrollsystemen Schaden anrichten können. So kann Irongate beispielsweise eine DLL (Dynamic Link Library) austauschen, um dann vom Kontrollsystem gelieferte Daten zu manipulieren. Angreifer könnten so von einem SCADA-System überwachte Prozesse verändern, ohne dass der Betreiber der Anlage das bemerkt.

Um sich zu verbergen erkennt Irongate – wie andere Schadsoftware inzwischen auch, ob sie in einer virtuellen Maschine oder einer Sandbox-Umgebung ausgeführt wird. Da dann die Vermutung naheliegt, dass es sich um eine Überprüfung handelt, werden die auffälligen Funktionen nicht ausgeführt.

“Die Angreifer haben Stuxnet-Techniken erlernt und implementiert, aber die Verteidiger haben ihre Fähigkeiten, Malware für Industriekontrollsysteme zu erkennen, nicht wirklich verbessert”, gibt Fireeye zu bedenken. “Wir benötigen deutliche Verbesserungen bei der Erkennung von Angriffen auf Industriekontrollsysteme.” Dazu schlägt Fireeye schlägt unter anderem Integritätschecks und Code-Signierung vor. Ohne eine kryptografische Verifizierung sei es jederzeit möglich, Dateien auszutauschen und Man-in-the-Middle-Angriffe gegen SCADA-Systeme auszuführen.

Irongate ist nicht die einzige Malware, die sich Stuxnet zum Vorbild genommen hat beziehungsweise ähnliche Techniken verwendet. 2014 hatte Symantec die Schadsoftware Reign entdeckt, eine “hochentwickelte Spionagesoftware”. Sie soll seit 2008 aktiv sein und zum Ausspähen von Einzelpersonen, Firmen und Behörden verwenmdet worden sein. Damit war also die Zielsetzung nicht Sabotage, sondern eher Spionage.

Ebenfalls 2014 haben Experten von F-Secure mit der Trojaner-Familie Havex eine Schadsoftware entdeckt, die Industriespionage im großen Stil betreiben oder sogar die Kontrolle über Anlagen übernehmen kann. Die Havex-Trojaner verbreiteten sich vor allem über infizierte Downloads der Anbieter von ICS/SCADA-Systemen. Betroffenen waren Hersteller solcher Anlagen in Deutschland, Frankreich und Belgien.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.