Experten stellen neu entdeckte Malware Industroyer auf eine Stufe mit Stuxnet

Die vom IT-Security-Anbieter Eset “Win32/Industroyer” genannte Malware hat offenbar im Dezember vergangenen Jahres zu einem großflächigen Stromausfall in der Ukraine gesorgt. Anders als ein Jahr zuvor, als ebenfalls Mitte Dezember der Strom in und um die Hauptstadt Kiew ausgefallen war, drang Industroyer aber nicht über bekannte Lücken (CVE-2014-1761 und CVE-2014-4114) in Windwos-Systeme ein, sondern nutzte die neue Malware Eigenschaften in der Industrie verbreiteter Steuerungsprotokolle. Damit ist sie Eset zufolge ähnlich aufgebaut wie Stuxnet und in Hinblick auf das Gefahrenpotenzial mit dieser Malware auf eine Stufe zu stellen.

Die Malware Industroyer beschreibt Eset auch in einem nun vorgelegten, Bericht (PDF) ausführlich. Zudem hat sich die US-amerikanische Sicherheitsfirma Dragos intensiv mit der Schadsoftware beschäftigt (PDF), die von ihr aber “Crash Override” genannt wird.

Dragos ordnet den Angriff einer vermutlich russischen Hackergruppe zu, die es Electrum nennt. Die soll dabei dieselben Computersysteme benutzt haben, mit denen sie schon ein Jahr zuvor in der Ukraine für einen Stromausfall sorgte, von dem 700.000 Menschen betroffen waren. Allerdings wurde damals mit der Schadsoftware KillDisk und BlackEnergy eher “traditionelle Malware” verwendet.

“Crash Override” respektive “Industroyer” soll im Dezember 2016 das Stromnetz der ukrainischen Hauptstadt Kiew lahmgelegt haben und seit Stuxnet die größte Gefahr für industrielle Steuerungssystemen auch in anderen Bereichen und Branchen sein. (Bild: Peter Marwan)

“Es ist üblich, dass spezielle Software, die verwendet wird, um Software für Industrieanlagen zu programmieren und zu kontrollieren, auf PCs mit Betriebssystemen wie Windows oder Linux läuft. Die können mit ähnlicher oder sogar derselben Malware angegriffen werden, die sich auch gegen normale Internetnutzer richtet. Und natürlich können auch alle anderen gängigen Angriffswege gewählt werden, darunter auch die Ausnutzung menschlicher Fehler und Social Engineering”, erklärte damals Eset-Experte Robert Lipovsky.

Industroyer ist dagegen eine modulare Malware, deren wesentliche Komponente eine Hintertür ist, über die die Angreifer weitere Komponenten installieren und steuern. Im Gegensatz zu anderer Schadsoftware weist sie vier Komponenten auf, die der direkten Kontrolle von Schaltungen und Stromkreisunterbrechern in elektrischen Umspannwerken dienen. Jede davon ist auf bestimmte Kommunikationsprotokolle ausgerichtet, die in industriellen Steuerungssystemen benutzt werden. Diese Protokolle wurden vor Jahrzehnten entwickelt, als derartige Industriesysteme keine Netzwerkverbindung zur Außenwelt hatten. Heute kann Schadsoftware sie angreifen, indem sie sich dieser Protokolle bedient.

Sicherheitsexperten sehen Industroyer nun als die größte Gefahr für industrielle Steuerungssysteme seit dem Stuxnet-Wurm, der sich gegen iranische Atomzentrifugen richtet. Die von den Vereinigten Staaten und Israel entwickelte Schadsoftware infizierte später aber auch weltweit eine große Anzahl von Rechnern.

Laut Eset könnte die neue Malware empfindliche Schäden in Stromversorgungssystemen weltweit anrichten. Außerdem könnte sie jederzeit umgerüstet werden, um andere kritische Infrastrukturen anzugreifen.

Auswahl

Ausgewähltes Whitepaper

Fünf wichtige Aspekte bei der Auswahl eines Wide Area Networks

Erfolgreiches Netz-Design kann die Produktivität deutlich verbessern und neue Chancen für die digitale Geschäftsentwicklung eröffnen. Ein unzureichend dimensioniertes WAN hemmt dagegen das produktive Arbeiten und führt zu Frustration bei Mitarbeitern, Lieferanten und Kunden. In diesem Whitepaper erfahren Sie, worauf es zu achten gilt.

Industroyer scheint den Untersuchungen von Eset und Dragos zufolge besonders gefährlich zu sein, die erste Malware, die in die Fußstapfen von Stuxnet tritt, ist es aber nicht. So hatte etwa Symantec 2014 vor der in den Berichten des Unternehmens mit Stuxnet in Verbindung gebrachten Malware Regin gewarnt, die sich vor allem gegen Behörden und Telekommunikationsanbieter richtete.

Im selben Jahr warnte F-Secure vor der Trojaner-Familie Havex, die sich vor allem über infizierte Downloads der Anbieter von ICS/SCADA-Systemen verbeitete. Die betroffenen Hersteller saßen damals in Deutschland, Frankreich und Belgien, wo zunächst auch die meisten Angriffe beobachtet wurden. 2016 hatte der Security-Anbieter SentinelOne dann eine Furtim´s Parent genannte Malware bei einem nicht näher genannten europäischen Energieversorger entdeckt.

[mit Material von Bernd Kling, ZDNet.de]

Loading ...
Redaktion

Recent Posts

Jobsorgen durch KI: Deutsche eher gelassen

EY hat Mitarbeitende in neun europäischen Ländern dazu befragt, wie stark KI ihren Arbeitsalltag verändert.

4 Stunden ago

DePIN: Ein neues Paradigma für Europas Cloud-Infrastruktur

Kann die Privatwirtschaft mit DePINs – dezentralen, physischen Infrastrukturnetzwerken – erreichen, was Gaia-X bislang vergeblich…

7 Stunden ago

Implementierung und Nutzung entscheidend für MFA-Sicherheit

Analyse zur Anfälligkeit von MFA auf Basis von 15.000 Push-basierten Angriffen. Größte Schwachstelle ist die…

8 Stunden ago

Olympia 2024 in Paris: Modell für das künftige KI-Ökosystem?

Investoren konzentrieren sich zunehmend auf Unternehmen, die KI-Anwendungen für konkrete Anwendungsfälle entwickeln, sagt Gastautor Andy…

1 Tag ago

Künstliche Intelligenz macht dänische Häfen sicherer

KI in Kombination mit Videotechnologie soll die Sicherheit im Hafen von Aalborg – einem der…

1 Tag ago

Mit weniger Papier effizienter arbeiten

Die Umstellung auf digitale Prozesse spart Zeit und Geld, zeigt eine aktuelle Studie von Statista…

2 Tagen ago