Categories: SicherheitUnternehmen

Stuxnet Reloaded: Trojaner-Familie Havex attackiert Industrieanlagen

Auf infizierten Web-Servern ist Havex leicht zu entdecken. Die bislang unbekannten Hacker kompromittieren die Webseiten von Herstellern von ICS/SCADA-Systemen und tauschen legitime Installer-Dateien gegen manipulierte Programme aus. Quelle: F-Secure

Die Sicherheitsforscher von F-Secure melden eine Serie von Attacken auf Industrieanlagen. Dazu werden industrielle Kontroll-Systeme (ICS) sowie so genannte SCADA-Software über Trojaner infiziert, die auf den betroffenen Systemen Hintertüren öffnen.

Die Angriffe basieren auf der in PHP geschriebenen Trojaner-Familie Havex Remote Access Trojan (RAT). Dafür haben die Angreifer Apps und Installer, die Anwender von den Seiten der Hersteller herunter laden können, mit den Schädlingen infiziert. Die Schädlinge verbreiten sich jedoch auch Via Spam-Mails und Exploit-Kits.

Über diese Trojaner können die Angreifer nicht nur hochsensible Informationen über die Anlagen und die Steuerungssysteme erlangen, sondern diese möglicherweise auch kontrollieren.

Neben Unternehmen in Deutschland und Frankreich, sollen auch andere Unternehmen betroffen sein, wie F-Secure in einem Blog mitteilt. Über die genauen Hintergründe und die Identität der Angreifer ist laut F-Secure bislang nichts bekannt.

Derzeit seien zwei deutsche sowie ein französischer Hersteller von Industrieanlagen betroffen. Darüber hinaus sollen auch zwei große europäische Universitäten sowie eine russische Baufirma betroffen sein. Auch konnte F-Secure die Kommunikation eines CC-Servers mit einem Industriegüterhersteller in Kalifornien zurückverfolgen.

In dem Blog erklären die F-Secure-Sicherheitsforscher Daavid Hentunen und Antti Tikkanen: “Die Angreifer haben Trojaner-Software zum Download auf den Webseisten der Hersteller der ICS/SCADA-Systeme verbreitet und auf diese Weise versucht, die Rechner auf denen die Software installiert wird, zu infizieren.” Ingesamt, so Hentunen weiter, habe F-Secure 88 Varianten von Havex RAT entdeckt, die allesamt darauf abzielen, Zugang zu den Systemen zu bekommen und so Daten aus den Netzwerken und von den Maschinen zu bekommen.

Diese verschiedenen Varianten hätten demnach insgesamt 146 Command and Controll Server (C&C)

Beispiele für Command and Controll-Server für Havex. Quelle: F-Secure

kontaktiert. Diese Server hätten rund 1500 IP-Adressen verfolgt, um auf diese Weise weitere mögliche Opfer ausfindig zu machen. Als C&C-Server dienen hauptsächlich gekaperte Web-Server von Dritten, allerdings sei die Hackergruppe bei der Verwaltung dieser Server nicht sehr professionell vorgegangen, erklären die Sicherheitsforscher.

Diese Schädlinge sammeln Daten aus den betroffenen Systemen. Doch gehen die Sicherheitsexperten davon aus, dass es den Angreifern nicht lediglich darum geht, Wirtschaftsspionage zu betreiben. Vielmehr sollen die Angreifer auf diese Weise versuchen, in verschiedenen Organisationen die Kontrolle über die Systeme zu bekommen, mutmaßen die Forscher. Dafür spreche der zusätzliche Payload, über den die Angreifer versuchen, Informationen über die verwendete Hardware auszulesen.

Auf infizierten Systemen lassen sich die insgesamt 88 bislang bekannten Varianten des Industrie-Spionage-Trojaner Havex Remote Access Trojan (RAT) über mbcheck.dll erkennnen. Quelle: F-Secure

Die Schädlinge selbst werden aber offenbar hauptsächlich über die Web-Auftritte der Hersteller verteilt. “Es scheint so, dass die Angreifer Sicherheitslecks in der Software verwenden, über die die Hersteller ihre Webseiten betreiben. Damit brechen sie auf den Servern ein und tauschen die legitimen Software-Installer aus, die dort für die Anwender verfügbar sind.”

Inzwischen habe F-Secure drei dieser Seiten von Herstellern in Deutschland, Schweiz und Belgien entdeckt. Ohne die Namen der Hersteller zu nennen, heißt es von F-Secure, dass zwei davon Software für die Fernwartung von Industriesystemen anbieten und bei dem dritten Unternehmen handle es sich um einen Hersteller von hochpräzisen Industriekameras und der entsprechenden Software. Jedoch könnten auch die Webseiten weiterer Hersteller betroffen sein, warnt F-Secure.

Die Infizierung eines Servers mit Havex lasse sich verhältnismäßig einfach aus dem Source-Code des Servers auslesen. Ein auf einen infizierten Installer auf einem Zielsystem weise “mbcheck.dll” hin.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

View Comments

Recent Posts

IATA will Dokumentenkontrolle radikal vereinfachen

Plattformanbieter für Identitätsprüfung IDnow unterstützt Luftfahrtverband IATA bei der Vereinfachung des Reisens.

10 Stunden ago

Sophos warnt vor Angriffen auf Sicherheitslücke in seiner Firewall

Die Schwachstelle erlaubt eine Remotecodeausführung. Angreifbar sind das User Portal und der Webadmin. Kunden mit…

16 Stunden ago

Bitkom rankt Deutschlands smarteste Städte

Hamburg gewinnt knapp vor München. Dresden erstmals unter den Top 3. Verfolger holen auf.

3 Tagen ago

Mozilla-Studie: Browser-Wettbewerb stark eingeschränkt

Nutzer wissen häufig, wie sie einen Browser wechseln können. Trotzdem bleiben sie beim voreingestellten Browser.…

4 Tagen ago

Apple veröffentlicht Fix für “wackelnde” Kamera des iPhone 14 Pro

Das Problem tritt ausschließlich mit Drittanbieter-Apps wie TikTok und Instagram auf. Unter Umständen bleibt zudem…

4 Tagen ago

Telekom und O2 schließen gemeinsam Funklöcher im ländlichen Raum

Mit dem gegenseitigen Zugang zu jeweils 200 Mobilfunkstandorten haben beide Netzbetreiber den Livebetrieb ihrer Zusammenarbeit…

4 Tagen ago