Experten stellen neu entdeckte Malware Industroyer auf eine Stufe mit Stuxnet

Die vom IT-Security-Anbieter Eset “Win32/Industroyer” genannte Malware hat offenbar im Dezember vergangenen Jahres zu einem großflächigen Stromausfall in der Ukraine gesorgt. Anders als ein Jahr zuvor, als ebenfalls Mitte Dezember der Strom in und um die Hauptstadt Kiew ausgefallen war, drang Industroyer aber nicht über bekannte Lücken (CVE-2014-1761 und CVE-2014-4114) in Windwos-Systeme ein, sondern nutzte die neue Malware Eigenschaften in der Industrie verbreiteter Steuerungsprotokolle. Damit ist sie Eset zufolge ähnlich aufgebaut wie Stuxnet und in Hinblick auf das Gefahrenpotenzial mit dieser Malware auf eine Stufe zu stellen.

Die Malware Industroyer beschreibt Eset auch in einem nun vorgelegten, Bericht (PDF) ausführlich. Zudem hat sich die US-amerikanische Sicherheitsfirma Dragos intensiv mit der Schadsoftware beschäftigt (PDF), die von ihr aber “Crash Override” genannt wird.

Dragos ordnet den Angriff einer vermutlich russischen Hackergruppe zu, die es Electrum nennt. Die soll dabei dieselben Computersysteme benutzt haben, mit denen sie schon ein Jahr zuvor in der Ukraine für einen Stromausfall sorgte, von dem 700.000 Menschen betroffen waren. Allerdings wurde damals mit der Schadsoftware KillDisk und BlackEnergy eher “traditionelle Malware” verwendet.

“Es ist üblich, dass spezielle Software, die verwendet wird, um Software für Industrieanlagen zu programmieren und zu kontrollieren, auf PCs mit Betriebssystemen wie Windows oder Linux läuft. Die können mit ähnlicher oder sogar derselben Malware angegriffen werden, die sich auch gegen normale Internetnutzer richtet. Und natürlich können auch alle anderen gängigen Angriffswege gewählt werden, darunter auch die Ausnutzung menschlicher Fehler und Social Engineering”, erklärte damals Eset-Experte Robert Lipovsky.

Industroyer ist dagegen eine modulare Malware, deren wesentliche Komponente eine Hintertür ist, über die die Angreifer weitere Komponenten installieren und steuern. Im Gegensatz zu anderer Schadsoftware weist sie vier Komponenten auf, die der direkten Kontrolle von Schaltungen und Stromkreisunterbrechern in elektrischen Umspannwerken dienen. Jede davon ist auf bestimmte Kommunikationsprotokolle ausgerichtet, die in industriellen Steuerungssystemen benutzt werden. Diese Protokolle wurden vor Jahrzehnten entwickelt, als derartige Industriesysteme keine Netzwerkverbindung zur Außenwelt hatten. Heute kann Schadsoftware sie angreifen, indem sie sich dieser Protokolle bedient.

Sicherheitsexperten sehen Industroyer nun als die größte Gefahr für industrielle Steuerungssysteme seit dem Stuxnet-Wurm, der sich gegen iranische Atomzentrifugen richtet. Die von den Vereinigten Staaten und Israel entwickelte Schadsoftware infizierte später aber auch weltweit eine große Anzahl von Rechnern.

Laut Eset könnte die neue Malware empfindliche Schäden in Stromversorgungssystemen weltweit anrichten. Außerdem könnte sie jederzeit umgerüstet werden, um andere kritische Infrastrukturen anzugreifen.

Auswahl

Industroyer scheint den Untersuchungen von Eset und Dragos zufolge besonders gefährlich zu sein, die erste Malware, die in die Fußstapfen von Stuxnet tritt, ist es aber nicht. So hatte etwa Symantec 2014 vor der in den Berichten des Unternehmens mit Stuxnet in Verbindung gebrachten Malware Regin gewarnt, die sich vor allem gegen Behörden und Telekommunikationsanbieter richtete.

Im selben Jahr warnte F-Secure vor der Trojaner-Familie Havex, die sich vor allem über infizierte Downloads der Anbieter von ICS/SCADA-Systemen verbeitete. Die betroffenen Hersteller saßen damals in Deutschland, Frankreich und Belgien, wo zunächst auch die meisten Angriffe beobachtet wurden. 2016 hatte der Security-Anbieter SentinelOne dann eine Furtim´s Parent genannte Malware bei einem nicht näher genannten europäischen Energieversorger entdeckt.

[mit Material von Bernd Kling, ZDNet.de]

 Loading ...