Stuxnet Reloaded: Trojaner-Familie Havex attackiert Industrieanlagen

Angreifer können über diese Trojaner Industriespionage im großen Stil betreiben oder sogar die Kontrolle über Anlagen übernehmen. Besonders perfide: Die Schädlinge verbreiten sich vor allem über infizierte Downloads der Anbieter von ICS/SCADA-Systemen. Die betroffenen Hersteller sitzen in Deutschland, Frankreich, Belgien, wo derzeit auch die meisten Angriffe zu verzeichnen sind.

Auf infizierten Web-Servern ist Havex leicht zu entdecken. Quelle: F-Secure
Auf infizierten Web-Servern ist Havex leicht zu entdecken. Die bislang unbekannten Hacker kompromittieren die Webseiten von Herstellern von ICS/SCADA-Systemen und tauschen legitime Installer-Dateien gegen manipulierte Programme aus. Quelle: F-Secure

Die Sicherheitsforscher von F-Secure melden eine Serie von Attacken auf Industrieanlagen. Dazu werden industrielle Kontroll-Systeme (ICS) sowie so genannte SCADA-Software über Trojaner infiziert, die auf den betroffenen Systemen Hintertüren öffnen.

Die Angriffe basieren auf der in PHP geschriebenen Trojaner-Familie Havex Remote Access Trojan (RAT). Dafür haben die Angreifer Apps und Installer, die Anwender von den Seiten der Hersteller herunter laden können, mit den Schädlingen infiziert. Die Schädlinge verbreiten sich jedoch auch Via Spam-Mails und Exploit-Kits.   

Über diese Trojaner können die Angreifer nicht nur hochsensible Informationen über die Anlagen und die Steuerungssysteme erlangen, sondern diese möglicherweise auch kontrollieren.

Neben Unternehmen in Deutschland und Frankreich, sollen auch andere Unternehmen betroffen sein, wie F-Secure in einem Blog mitteilt. Über die genauen Hintergründe und die Identität der Angreifer ist laut F-Secure bislang nichts bekannt.

Derzeit seien zwei deutsche sowie ein französischer Hersteller von Industrieanlagen betroffen. Darüber hinaus sollen auch zwei große europäische Universitäten sowie eine russische Baufirma betroffen sein. Auch konnte F-Secure die Kommunikation eines CC-Servers mit einem Industriegüterhersteller in Kalifornien zurückverfolgen.

In dem Blog erklären die F-Secure-Sicherheitsforscher Daavid Hentunen und Antti Tikkanen: “Die Angreifer haben Trojaner-Software zum Download auf den Webseisten der Hersteller der ICS/SCADA-Systeme verbreitet und auf diese Weise versucht, die Rechner auf denen die Software installiert wird, zu infizieren.” Ingesamt, so Hentunen weiter, habe F-Secure 88 Varianten von Havex RAT entdeckt, die allesamt darauf abzielen, Zugang zu den Systemen zu bekommen und so Daten aus den Netzwerken und von den Maschinen zu bekommen.

Diese verschiedenen Varianten hätten demnach insgesamt 146 Command and Controll Server (C&C)

Beispiele für Command and Controll-Server für Havex. Quelle: F-Secure
Beispiele für Command and Controll-Server für Havex. Quelle: F-Secure

kontaktiert. Diese Server hätten rund 1500 IP-Adressen verfolgt, um auf diese Weise weitere mögliche Opfer ausfindig zu machen. Als C&C-Server dienen hauptsächlich gekaperte Web-Server von Dritten, allerdings sei die Hackergruppe bei der Verwaltung dieser Server nicht sehr professionell vorgegangen, erklären die Sicherheitsforscher.

Diese Schädlinge sammeln Daten aus den betroffenen Systemen. Doch gehen die Sicherheitsexperten davon aus, dass es den Angreifern nicht lediglich darum geht, Wirtschaftsspionage zu betreiben. Vielmehr sollen die Angreifer auf diese Weise versuchen, in verschiedenen Organisationen die Kontrolle über die Systeme zu bekommen, mutmaßen die Forscher. Dafür spreche der zusätzliche Payload, über den die Angreifer versuchen, Informationen über die verwendete Hardware auszulesen.

Trojaner Havex Remote Access Trojan (RAT) über mbcheck.dll erkennnen. Quelle: F-Secure
Auf infizierten Systemen lassen sich die insgesamt 88 bislang bekannten Varianten des Industrie-Spionage-Trojaner Havex Remote Access Trojan (RAT) über mbcheck.dll erkennnen. Quelle: F-Secure

Die Schädlinge selbst werden aber offenbar hauptsächlich über die Web-Auftritte der Hersteller verteilt. “Es scheint so, dass die Angreifer Sicherheitslecks in der Software verwenden, über die die Hersteller ihre Webseiten betreiben. Damit brechen sie auf den Servern ein und tauschen die legitimen Software-Installer aus, die dort für die Anwender verfügbar sind.”

Inzwischen habe F-Secure drei dieser Seiten von Herstellern in Deutschland, Schweiz und Belgien entdeckt. Ohne die Namen der Hersteller zu nennen, heißt es von F-Secure, dass zwei davon Software für die Fernwartung von Industriesystemen anbieten und bei dem dritten Unternehmen handle es sich um einen Hersteller von hochpräzisen Industriekameras und der entsprechenden Software. Jedoch könnten auch die Webseiten weiterer Hersteller betroffen sein, warnt F-Secure.

Die Infizierung eines Servers mit Havex lasse sich verhältnismäßig einfach aus dem Source-Code des Servers auslesen. Ein auf einen infizierten Installer auf einem Zielsystem weise “mbcheck.dll” hin.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de