Experten stellen neu entdeckte Malware Industroyer auf eine Stufe mit Stuxnet

Die vom IT-Security-Anbieter Eset “Win32/Industroyer” genannte Malware hat offenbar im Dezember vergangenen Jahres zu einem großflächigen Stromausfall in der Ukraine gesorgt. Anders als ein Jahr zuvor, als ebenfalls Mitte Dezember der Strom in und um die Hauptstadt Kiew ausgefallen war, drang Industroyer aber nicht über bekannte Lücken (CVE-2014-1761 und CVE-2014-4114) in Windwos-Systeme ein, sondern nutzte die neue Malware Eigenschaften in der Industrie verbreiteter Steuerungsprotokolle. Damit ist sie Eset zufolge ähnlich aufgebaut wie Stuxnet und in Hinblick auf das Gefahrenpotenzial mit dieser Malware auf eine Stufe zu stellen.

Die Malware Industroyer beschreibt Eset auch in einem nun vorgelegten, Bericht (PDF) ausführlich. Zudem hat sich die US-amerikanische Sicherheitsfirma Dragos intensiv mit der Schadsoftware beschäftigt (PDF), die von ihr aber “Crash Override” genannt wird.

Dragos ordnet den Angriff einer vermutlich russischen Hackergruppe zu, die es Electrum nennt. Die soll dabei dieselben Computersysteme benutzt haben, mit denen sie schon ein Jahr zuvor in der Ukraine für einen Stromausfall sorgte, von dem 700.000 Menschen betroffen waren. Allerdings wurde damals mit der Schadsoftware KillDisk und BlackEnergy eher “traditionelle Malware” verwendet.

“Crash Override” respektive “Industroyer” soll im Dezember 2016 das Stromnetz der ukrainischen Hauptstadt Kiew lahmgelegt haben und seit Stuxnet die größte Gefahr für industrielle Steuerungssystemen auch in anderen Bereichen und Branchen sein. (Bild: Peter Marwan)

“Es ist üblich, dass spezielle Software, die verwendet wird, um Software für Industrieanlagen zu programmieren und zu kontrollieren, auf PCs mit Betriebssystemen wie Windows oder Linux läuft. Die können mit ähnlicher oder sogar derselben Malware angegriffen werden, die sich auch gegen normale Internetnutzer richtet. Und natürlich können auch alle anderen gängigen Angriffswege gewählt werden, darunter auch die Ausnutzung menschlicher Fehler und Social Engineering”, erklärte damals Eset-Experte Robert Lipovsky.

Industroyer ist dagegen eine modulare Malware, deren wesentliche Komponente eine Hintertür ist, über die die Angreifer weitere Komponenten installieren und steuern. Im Gegensatz zu anderer Schadsoftware weist sie vier Komponenten auf, die der direkten Kontrolle von Schaltungen und Stromkreisunterbrechern in elektrischen Umspannwerken dienen. Jede davon ist auf bestimmte Kommunikationsprotokolle ausgerichtet, die in industriellen Steuerungssystemen benutzt werden. Diese Protokolle wurden vor Jahrzehnten entwickelt, als derartige Industriesysteme keine Netzwerkverbindung zur Außenwelt hatten. Heute kann Schadsoftware sie angreifen, indem sie sich dieser Protokolle bedient.

Sicherheitsexperten sehen Industroyer nun als die größte Gefahr für industrielle Steuerungssysteme seit dem Stuxnet-Wurm, der sich gegen iranische Atomzentrifugen richtet. Die von den Vereinigten Staaten und Israel entwickelte Schadsoftware infizierte später aber auch weltweit eine große Anzahl von Rechnern.

Laut Eset könnte die neue Malware empfindliche Schäden in Stromversorgungssystemen weltweit anrichten. Außerdem könnte sie jederzeit umgerüstet werden, um andere kritische Infrastrukturen anzugreifen.

Auswahl

Ausgewähltes Whitepaper

Fünf wichtige Aspekte bei der Auswahl eines Wide Area Networks

Erfolgreiches Netz-Design kann die Produktivität deutlich verbessern und neue Chancen für die digitale Geschäftsentwicklung eröffnen. Ein unzureichend dimensioniertes WAN hemmt dagegen das produktive Arbeiten und führt zu Frustration bei Mitarbeitern, Lieferanten und Kunden. In diesem Whitepaper erfahren Sie, worauf es zu achten gilt.

Industroyer scheint den Untersuchungen von Eset und Dragos zufolge besonders gefährlich zu sein, die erste Malware, die in die Fußstapfen von Stuxnet tritt, ist es aber nicht. So hatte etwa Symantec 2014 vor der in den Berichten des Unternehmens mit Stuxnet in Verbindung gebrachten Malware Regin gewarnt, die sich vor allem gegen Behörden und Telekommunikationsanbieter richtete.

Im selben Jahr warnte F-Secure vor der Trojaner-Familie Havex, die sich vor allem über infizierte Downloads der Anbieter von ICS/SCADA-Systemen verbeitete. Die betroffenen Hersteller saßen damals in Deutschland, Frankreich und Belgien, wo zunächst auch die meisten Angriffe beobachtet wurden. 2016 hatte der Security-Anbieter SentinelOne dann eine Furtim´s Parent genannte Malware bei einem nicht näher genannten europäischen Energieversorger entdeckt.

[mit Material von Bernd Kling, ZDNet.de]

Loading ...
Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

Recent Posts

AWS, Azure und Google Cloud: Wachstum der größten Cloud-Anbieter schwächelt

Vor allem das Wachstum bei Infrastructure-as-a-Service (IaaS) verlangsamt sich. Nachfrage nach Managed Services nach wie…

2 Stunden ago

Transparentere Lieferketten und Lieferprognosen in Echtzeit

Textilhersteller Delta Galil setzt auf die Supply-Chain-Plattform Infor Nexus

3 Stunden ago

Hallo Sprach-Chatbot: Dreimal Pizza für heute Abend

Abhilfe gegen Fachkräftemangel: KI-Sprach-Chatbot als 24/7-Mitarbeiter für Essensbestellung in der Gastro-Branche.

4 Stunden ago

Zeelandia nutzt KI für Vertrieb und Preisgestaltung

Hersteller von Backzutaten steigert Umsatz und verbessert Kundenerlebnis mit KI-gesteuerten Produkt- und Preisempfehlungen.

5 Stunden ago

Daten kosteneffizienter speichern und verwalten

Die Datenmengen in Unternehmen wachsen jährlich um Milliarden Terabytes, warnt Florian Malecki von Arcserve in…

5 Stunden ago

Banking-Malware für Android infiziert Smartphones auch mit Ransomware

Die Schadsoftware Sova erhält mit einem Update eine Funktion zur Verschlüsselung von Dateien. Sova ahmt…

6 Stunden ago