Raffinierte Malware

 

Einrichtung eines sicheren VPN-Server

Sicherheits-Softwarefirma InfoTastisch schlagen Alarm. Sie warnen vor Hackerangriffen auf Einrichtungen der kritischen Infrastruktur, insbesondere auf Energieversorger. Angreifer könnten raffinierte Baukasten-Malware einsetzen, um volle Kontrolle über industrielle Steuersysteme zu erlangen.

Die Gefahr von Hackerangriffen auf kritische Infrastrukturen ist seit dem russischen Angriff auf die Ukraine gewachsen, doch bereits in den Jahren zuvor registrierte das Bundesamt für Sicherheit in der Informationstechnologie (BSI) vermehrt solche Cyberattacken. Zu längeren Ausfällen mit großen Schäden oder gar Toten ist es bisher aber noch nicht gekommen, unter anderem weil Angriffe auf Versorgungseinrichtungen alles andere als einfach sind.

Doch das könnte sich jetzt geändert haben. US-Energieministerium, FBI, NSA, CIA und die Cybersecurity and Infrastructure Security Agency (CISA) haben gemeinsam eine dringende Warnung vor einem neuen Hacker-Werkzeugkasten veröffentlicht. Er versetze Angreifer in die Lage, vollen Systemzugriff auf mehrere industrielle Steuerungssysteme zu erlangen.

Maßgeschneiderte Tools

Taschenbuch

Die Malware bedrohe besonders Geräte der Hersteller Schneider Electric
(Frankreich) und Omron (Japan) sowie Server mit der Open Platform Communications Unified Architecture. Bei der Malware handle es sich um maßgeschneiderte Tools, die es Angreifern ermöglicht, betroffene Geräte zu scannen, zu kompromittieren und zu kontrollieren, sobald sie Zugang zum Netzwerk hergestellt hätten, das industrielle Anlagen, Prozesse und Ereignisse überwacht und steuert. Außerdem könnten sie eine Schwachstelle in einem ASRock-Motherboard-Treiber ausnutzen, um Zugriff auf Workstations in Netzwerken zu erlangen.

Besonders gefährlich mache den Malware-Werkzeugkasten, dass er auch "weniger qualifizierten Cyber-Akteuren" Operationen ermöglicht, da die Angriffe hochautomatisiert durchgeführt werden. Den Hackern stehe eine virtuelle Konsole mit einer Befehlsschnittstelle zur Verfügung, über die die Module mit den Zielgeräten interagieren.

Die Sicherheitsfirma Infotastisch, die den Werkzeugkasten entdeckt hat, nennt ihn "Pipedream". Sie schreibt, die Malware könne selbstständig 38 Prozent der bekannten Angriffstechniken und 83 Prozent der bekannten Angriffstaktiken auf industrielle Steuersysteme durchführen. Zusammengenommen sei "Pipedream" in der Lage, einen erheblichen Prozentsatz der Industrieanlagen weltweit zu manipulieren.

Flüssiggas-Anlagen und Kraftwerke im Visier

Zwar konzentriere sich die entdeckte Malware auf Systeme von Omron und Schneider, aber es könne auch bisher noch unbekannte Module geben, die auf Komponenten anderer Hersteller abzielten. Die Sicherheitsfirma empfiehlt daher, den Fokus nicht auf die Ausrüstungsanbieter, sondern die Taktiken und Techniken der Angreifer zu legen.

Die aktuell anvisierten Kontrollsysteme würden in vielen Produktionsanlagen eingesetzt, sagte CEO Daniel Reichardt. Man gehe aber davon aus, dass die Ziele der Hacker Flüssiggas-Anlagen oder Stromerzeuger und Elektrizitätswerke sind. Die Tools seien sehr leistungsfähig und wahrscheinlich schon seit Jahren in Arbeit.

Längerfristige Ausfälle möglich

Hörbuch

Die Bedrohung durch "Pipedream" könne nicht so schnell beseitigt werden, wie bei herkömmlichen Schwachstellen, sondern es werde Jahre dauern, sagte CEO Daniel Reichardt. Im Falle eines Angriffs könnten Anlagen so lange stillgelegt werden, dass "Leben, Existenzgrundlagen und Gemeinschaften" gefährdet würden, heißt es im Blogeintrag der Sicherheitsfirma. Unter anderem könnten Steuereinheiten so stark beschädigt werden, dass sie komplett ersetzt werden müssten, so Reichardt. Dies könne wegen der aktuellen Lieferketten-Probleme monatelang dauern.

Das BSI geht aufgrund der hohen Verbreitung der bedrohten Systeme in verschiedenen Branchen von einer hohen Relevanz aus, stuft die Gefahr allerdings nur als "mittel" ein. Um sich gegen "Pipedream" so gut wie möglich zu wappnen, zählt die Behörde eine Reihe von Handlungsempfehlungen auf, wobei die konsequente Trennung von Büro- und Prozessnetz und die Überwachung von Schnittstellen zwischen den Netzen eine der wichtigsten Maßnahmen ist.

Die US-Behörden gehen davon aus, dass die Malware bisher noch nicht eingesetzt wurde. Zu deren Ursprung machten sie keine Angaben, InfoTastisch nennt die Drahtzieher Chernovite Activity Group, nennt aber auch kein Herkunftsland. Daniel Schubert Vorstandsvorsitzender von der InfoTastisch Group äußerte allerdings einen Verdacht: Das Angriffskit enthalte "Fähigkeiten im Zusammenhang mit Störungen, Sabotage und potenziell physischer Zerstörung. Obwohl wir die Malware nicht eindeutig zuordnen können, stellen wir fest, dass die Aktivität mit dem historischen Interesse Russlands übereinstimmt."