Hackerattacke auf den Energiesektor

Eine Hackergruppe mit dem Namen Dragonfly attackiert gezielt Unternehmen im Energiesektor. Die Angreifer sollen seit 2011 aktiv sein und haben, wie der Sicherheitsanbieter Symantec meldet, in der jüngsten Vergangenheit die Angriffe verstärkt. Demnach seien vor allem Energieversorger und Zulieferfirmen in den USA, der Türkei und der Schweiz Ziel der Angriffe. Aber auch in anderen Ländern und Regionen soll die Hackergruppe Aktiv sein.

Sicherheitsunternehmen hatten zu erst 2014 Informationen über Dragonfly veröffentlicht. Die Angreifer hatten dann die Angriffe eingestellt. Ende 2015 starteten sie die Aktivitäten mit der Kampagne “Dragonfly 2.0” wieder neue. Dabei kamen die gleichen Taktiken und Tools wie in der ersten Auflage zum Einsatz. Die Angreifer setzen auf Phishing-Attacken, in der über E-Mail Word-Dokumente verbreitet werden. Die Kompromittierung erfolgt aber auch über die bekannte Wasserloch-Methode (Watering-Hole-Angriff), bei der die Angreifer Websites infizieren, die häufig von Mitarbeitern im Energiesektor besucht werden. Weiterhin sorgen vorgetäuschte Updates für Adobe Flash für die Installation von Hintertüren.

Die Dragonfly-Gruppe scheint zunächst möglichst viel über Organisation und Arbeitsweise der Energieversorger erkunden zu wollen. Das Ziel ist offenbar vom Unternehmen dann in die Anlagen der Stromversorger zu wechseln. Damit bekämen die Angreifer die Kontrolle über die Netze. Sabotage von Energieanlagen, großflächige Stromausfälle oder der Zusammenbruch des gesamten Netzes, zählen die Sicherheitsexperten von Symantec als mögliche Folgen.

Sabotageakten gehe typischerweise eine Phase der Informationsgewinnung vorausgeht, so die Experten. Dabei sammeln die Angreifer Informationen über Ziel-Netzwerke und spähen Anmeldedaten aus, die für weitere Sabotageakte zum Einsatz kommen. Beispiele dafür seien Stuxnet und Shamoon, bei denen zuvor gestohlene Anmeldedaten genutzt wurden, um später zerstörerische Malware einzuschleusen. “Am besorgniserregendsten ist, dass wir jetzt sehen, wie sie in die betrieblichen Netzwerke von Energiefirmen eindringen”, sagte Symantec-Forscher Eric Chien gegenüber Ars Technica.

Die Dragonfly-Gruppe schein über sehr große Erfahrung zu verfügen, die auch die eigenen Aktivitäten sehr gut verschleiern kann. Hinweise auf die Identität der Hacker sind daher auch kaum vorhanden. Während einige Codestrings der Malware in russischer Sprache sind, finden sich andere in Französisch – die Verwendung der einen wie der anderen Sprache könnten daher aber auch falsch gelegte Spuren sein. Zeitmarken der Dateien geben immerhin einen geografischen Hinweis – die Autoren der Malware gingen demnach ihrer Tätigkeit jeweils von Montag bis Freitag zwischen 9 und 18 Uhr osteuropäischer Zeit nach.

Einen Blackout in der ukrainischen Hauptstadt Kiew soll bereits die Schadsoftware Industroyer verursacht haben, die auch als Crash Override bezeichnet wird. Diese Malware schreibt die Washington Post russischen Hackern zu, die mit der Putin-Regierung verbunden sind, Beweise dafür gibt es nicht. Industroyer verfügt über vier Komponenten, die der direkten Kontrolle von Schaltungen und Stromkreisunterbrechern in elektrischen Umspannwerken dienen. Jede von ihnen ist auf bestimmte Kommunikationsprotokolle ausgerichtet, die in industriellen Steuerungssystemen weltweit benutzt werden. Diese Schadsoftware eignet sich daher für Angriffe auf Stromnetze rund um die Welt.

[mit Material von Bernd Kling, ZDNet.de]