Stuxnet Reloaded: Trojaner-Familie Havex attackiert Industrieanlagen

Auf infizierten Web-Servern ist Havex leicht zu entdecken. Die bislang unbekannten Hacker kompromittieren die Webseiten von Herstellern von ICS/SCADA-Systemen und tauschen legitime Installer-Dateien gegen manipulierte Programme aus. Quelle: F-Secure

Die Sicherheitsforscher von F-Secure melden eine Serie von Attacken auf Industrieanlagen. Dazu werden industrielle Kontroll-Systeme (ICS) sowie so genannte SCADA-Software über Trojaner infiziert, die auf den betroffenen Systemen Hintertüren öffnen.

Die Angriffe basieren auf der in PHP geschriebenen Trojaner-Familie Havex Remote Access Trojan (RAT). Dafür haben die Angreifer Apps und Installer, die Anwender von den Seiten der Hersteller herunter laden können, mit den Schädlingen infiziert. Die Schädlinge verbreiten sich jedoch auch Via Spam-Mails und Exploit-Kits.

Über diese Trojaner können die Angreifer nicht nur hochsensible Informationen über die Anlagen und die Steuerungssysteme erlangen, sondern diese möglicherweise auch kontrollieren.

Neben Unternehmen in Deutschland und Frankreich, sollen auch andere Unternehmen betroffen sein, wie F-Secure in einem Blog mitteilt. Über die genauen Hintergründe und die Identität der Angreifer ist laut F-Secure bislang nichts bekannt.

Derzeit seien zwei deutsche sowie ein französischer Hersteller von Industrieanlagen betroffen. Darüber hinaus sollen auch zwei große europäische Universitäten sowie eine russische Baufirma betroffen sein. Auch konnte F-Secure die Kommunikation eines CC-Servers mit einem Industriegüterhersteller in Kalifornien zurückverfolgen.

In dem Blog erklären die F-Secure-Sicherheitsforscher Daavid Hentunen und Antti Tikkanen: “Die Angreifer haben Trojaner-Software zum Download auf den Webseisten der Hersteller der ICS/SCADA-Systeme verbreitet und auf diese Weise versucht, die Rechner auf denen die Software installiert wird, zu infizieren.” Ingesamt, so Hentunen weiter, habe F-Secure 88 Varianten von Havex RAT entdeckt, die allesamt darauf abzielen, Zugang zu den Systemen zu bekommen und so Daten aus den Netzwerken und von den Maschinen zu bekommen.

Diese verschiedenen Varianten hätten demnach insgesamt 146 Command and Controll Server (C&C)

Beispiele für Command and Controll-Server für Havex. Quelle: F-Secure

kontaktiert. Diese Server hätten rund 1500 IP-Adressen verfolgt, um auf diese Weise weitere mögliche Opfer ausfindig zu machen. Als C&C-Server dienen hauptsächlich gekaperte Web-Server von Dritten, allerdings sei die Hackergruppe bei der Verwaltung dieser Server nicht sehr professionell vorgegangen, erklären die Sicherheitsforscher.

Diese Schädlinge sammeln Daten aus den betroffenen Systemen. Doch gehen die Sicherheitsexperten davon aus, dass es den Angreifern nicht lediglich darum geht, Wirtschaftsspionage zu betreiben. Vielmehr sollen die Angreifer auf diese Weise versuchen, in verschiedenen Organisationen die Kontrolle über die Systeme zu bekommen, mutmaßen die Forscher. Dafür spreche der zusätzliche Payload, über den die Angreifer versuchen, Informationen über die verwendete Hardware auszulesen.

Auf infizierten Systemen lassen sich die insgesamt 88 bislang bekannten Varianten des Industrie-Spionage-Trojaner Havex Remote Access Trojan (RAT) über mbcheck.dll erkennnen. Quelle: F-Secure

Die Schädlinge selbst werden aber offenbar hauptsächlich über die Web-Auftritte der Hersteller verteilt. “Es scheint so, dass die Angreifer Sicherheitslecks in der Software verwenden, über die die Hersteller ihre Webseiten betreiben. Damit brechen sie auf den Servern ein und tauschen die legitimen Software-Installer aus, die dort für die Anwender verfügbar sind.”

Inzwischen habe F-Secure drei dieser Seiten von Herstellern in Deutschland, Schweiz und Belgien entdeckt. Ohne die Namen der Hersteller zu nennen, heißt es von F-Secure, dass zwei davon Software für die Fernwartung von Industriesystemen anbieten und bei dem dritten Unternehmen handle es sich um einen Hersteller von hochpräzisen Industriekameras und der entsprechenden Software. Jedoch könnten auch die Webseiten weiterer Hersteller betroffen sein, warnt F-Secure.

Die Infizierung eines Servers mit Havex lasse sich verhältnismäßig einfach aus dem Source-Code des Servers auslesen. Ein auf einen infizierten Installer auf einem Zielsystem weise “mbcheck.dll” hin.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

View Comments

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

16 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

21 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

22 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago