Malware-Tools zur Störung von industriellen Kontrollsystemen (ICS)

Redaktion silicon.de,

ICS-spezifische Malware-Tools wie Stuxnet, Triton oder Havel sind oft auf die Systeme der Zielumgebungen zugeschnitten.

Der jüngste Versuch der russischen Hackergruppe Sandworm, den Betrieb eines ukrainischen Energieversorgungsunternehmens zu stören, zeigt, dass es zunehmend Tools zur Störung industrieller Kontrollsysteme (ICS) gibt. Für den Angriff verwendete Sandworm eine aktualisierte Version eines Malware-Tools bekannt als Industroyer/CrashOverride. Industroyer ist eines von einer Handvoll hochentwickelter Tools, die Angreifern Zugang zu Systemen verschaffen, die die Betriebsanlagen von Energieversorgungsunternehmen, Öl- und Gasfirmen und anderen kritischen Infrastrukturen steuern. Mit diesem Angriffstool können Hacker zum Beispiel Stromausfälle auszulösen. Das ukrainische Computer-Notfallteam (CERT-UA) vereitelte den Angriff, bevor ein Schaden entstand. Das CERT stellte fest, dass die Angreifer Hochspannungsschaltanlagen und andere Infrastrukturelemente in der angegriffenen Anlage außer Betrieb setzen wollten.

Im Gegensatz zu anderer Malware, die oft gemeinsame Merkmale und Funktionen aufweist, sind ICS-spezifische Malware-Tools in der Regel stark auf die Zielumgebung zugeschnitten. Stuxnet zielte darauf ab,  die Ausrüstung der iranischen Urananreicherungsanlage in Natanz zu beschädigen. Der aktuelle Industroyer war auf die Störung der speziellen Systeme der angegriffenen Anlage in der Ukraine abgestimmt.

Die bekanntesten Tools für Angriffe auf ICS sind:

Stuxnet
war der erste,  öffentlich bekannte Fall von Malware, der speziell auf die Störung einer bestimmten ICS-Umgebung ausgerichtet war. Er zerstörte zahlreiche Zentrifugen in einer iranischen Urananreicherungsanlage in Natanz. Im Gegensatz zu modernen ICS-Bedrohungen, die aus der Ferne eingesetzt werden können, wurde Stuxnet auf USB-Sticks transportiert und verbreitete sich über Windows-Systeme. Die Malware suchte nach speicherprogrammierbaren Steuerungen von Siemens, die zur Überwachung elektromechanischer Geräte in der iranischen Urananreicherungsanlage eingesetzt wurden. McAfee hat mehrere Malware-Tools identifiziert, die Artefakte von Stuxnet-Code enthalten. Dazu gehören unter anderem Duqu oder Flame 

Triton/Trisis
wurde 2017 bei einem gezielten Angriff auf eine saudi-arabische Ölraffinerie eingesetzt wurde. Die Malware zielte auf mehrere Modelle von Triconex ab, einem SIS von Schneider Electric, das die Ölraffinerie zur Überwachung kritischer Systeme in der Anlage verwendete. Hätte die Malware wie vorgesehen funktioniert, hätte sie möglicherweise Explosionen und die Freisetzung gefährlicher Gase in der Anlage auslösen können. Die Angriffsversuche wurden aber entdeckt und in zwei bekannten Fällen lösten sie eine automatische Abschaltung der gesamten Raffinerie aus.

Incontroller/PipeDream
ist die jüngste entdeckte ICS-spezifische Malware-Bedrohung. Die US-amerikanische CISA und hat festgestellt, dass die Malware eine besonders große Bedrohung für den Energiesektor darstellt. Incontroller besteht aus drei Malware-Tools und zielt auf SPS von Schneider Electric und Omron ab sowie auf Server, die auf Open Platform Communications Unified Architecture (OPC UA) basieren. Angreifer können die Malware nutzen, um SPS so zu manipulieren, dass es zu Betriebsunterbrechungen, Sicherheitsausfällen und potenziell katastrophalen physischen Zerstörungen kommen könnte. Incontroller/PipeDream nutzt keine Schwachstellen aus, um Zielsysteme zu kompromittieren. Stattdessen kommuniziert und interagiert es mit den SPS. Die Malware ist aufgrund ihrer Fähigkeit, systemeigene Funktionen zu nutzen, in Industriesystemen schwer zu erkennen.

Industroyer/CrashOverride
ist vermutlich der erste bekannte Fall von Malware, die ausschließlich auf das Stromnetz abzielt. Sie soll bei einem Angriff auf das ukrainische Stromnetz im Dezember 2016 zu einem stundenlangen Stromausfall in Teilen von Kiew geführt haben. Ein Merkmal der Malware ist die Tatsache, dass sie nicht auf eine bestimmte Technologie abzielt oder eine Sicherheitslücke ausnutzt. Stattdessen nutzt sie systemeigene ICS-Kommunikationsprotokolle, um mit Industriesystemen zu interagieren und ihnen bösartige Befehle zu erteilen, ohne dass dies einen Alarm auslösen würde.

BlackEnergy
ist eine Malware, die ursprünglich für verteilte Denial-of-Service-Angriffe und zum Herunterladen von Spam und Malware verwendet wurde. Die Malware soll bei einem Cyberangriff auf den ukrainischen Stromversorger Prykarpattya Oblenerg im Dezember 2015 eine Rolle gespielt haben. Der Versorger nahm damals 30 Umspannwerke vom Netz, was einen sechsstündigen Stromausfall auslöste, von dem rund 100 Städte betroffen waren. Bei dem Angriff verschafften sich die Angreifer Zugang zu einem Windows-basierten Human-Machine-Interface-System (HMI) des Energieversorgers. Forscher, die den Angriff analysierten, fanden Beweise für BlackEnergy und einen Wiper namens KillDisk im Netzwerk des angegriffenen Stromversorgers. 

Havex
ist ein Remote-Access-Trojaner (RAT), der erstmals 2014 von der russischen Gruppe Dragonfly – auch bekannt als Energetic Bear – gegen ICS/SCADA-Systeme in Unternehmen des Energiesektors eingesetzt wurde. Zunächst wurde die Malware verwendet, um Daten von infizierten Systemen und den Umgebungen zu sammeln, in denen die Systeme ausgeführt wurden. Eine Analyse von Trend Micro ergab, dass die Malware zusätzlichen Code herunterladen und ausführen konnte, der unter anderem dazu diente, Server auf Basis der Open Platform Communications (OPC)-Architektur zu finden und sich mit ihnen zu verbinden sowie Informationen zu sammeln, die später zur Kompromittierung der Geräte verwendet werden konnten.