Categories: CybersicherheitVirus

Erneut Malware für SCADA-Systeme von Siemens entdeckt

Das IT-Sicherheitsunternehmen FireEye hat auf eine von ihm jetzt entdeckte Schadsoftware hingewiesen, die offenbar für Angriffe auf SCADA-Systeme (Supervisory Control and Data Acquisition) von Siemens konzipiert wurde. Ähnlich wie die nach aktuellem Kenntnisstand von den USA und Israel entwickelte Malware Stuxnet, mit der Irans Nuklearprogramm sabotiert wurde, kann auch Irongate tatsächliche Daten über Industrieprozesse verbergen. Indem die Industriekontrollsysteme so unvollständige oder gar falsche Angaben erhalten, lässt sich ihre Steuerung beeinflussen.

Die von den Fireeye-Forschern “Irongate” genannte Malwarefamilie bemerkten sie erstmals in der zweiten Hälfte des Jahres 2015. Sie war damals in die Datenbank von VirusTotal eingereicht worden. Mehrere Personen hatten dort allerdings schon 2014 zwei Varianten von Irongate hochgeladen. Zu dem Zeitpunkt stufte keine Antivirensoftware die Malware als gefährlich ein.

Das Siemens ProductCERT erklärt, dass Irongate auch jetzt nicht gegen SCADA-Systeme von Siemens eingesetzt werden kann. Irongate nutze keine Schwachstellen in Siemens-Produkten aus. Auch FireEye weist darauf hin, das Irongate bisher hinter keinen Angriffen ausgemacht werden konnte. “Wir räumen ein, das Irongate ein Test, ein Proof of Concept oder ein Forschungsprojekt für Angriffe auf Industriekontrollsysteme sein könnte”, so das Unternehmen.

Die Schadsoftware bringt allerdings Funktionen mit, die bei Industriekontrollsystemen Schaden anrichten können. So kann Irongate beispielsweise eine DLL (Dynamic Link Library) austauschen, um dann vom Kontrollsystem gelieferte Daten zu manipulieren. Angreifer könnten so von einem SCADA-System überwachte Prozesse verändern, ohne dass der Betreiber der Anlage das bemerkt.

Um sich zu verbergen erkennt Irongate – wie andere Schadsoftware inzwischen auch, ob sie in einer virtuellen Maschine oder einer Sandbox-Umgebung ausgeführt wird. Da dann die Vermutung naheliegt, dass es sich um eine Überprüfung handelt, werden die auffälligen Funktionen nicht ausgeführt.

“Die Angreifer haben Stuxnet-Techniken erlernt und implementiert, aber die Verteidiger haben ihre Fähigkeiten, Malware für Industriekontrollsysteme zu erkennen, nicht wirklich verbessert”, gibt Fireeye zu bedenken. “Wir benötigen deutliche Verbesserungen bei der Erkennung von Angriffen auf Industriekontrollsysteme.” Dazu schlägt Fireeye schlägt unter anderem Integritätschecks und Code-Signierung vor. Ohne eine kryptografische Verifizierung sei es jederzeit möglich, Dateien auszutauschen und Man-in-the-Middle-Angriffe gegen SCADA-Systeme auszuführen.

Irongate ist nicht die einzige Malware, die sich Stuxnet zum Vorbild genommen hat beziehungsweise ähnliche Techniken verwendet. 2014 hatte Symantec die Schadsoftware Reign entdeckt, eine “hochentwickelte Spionagesoftware”. Sie soll seit 2008 aktiv sein und zum Ausspähen von Einzelpersonen, Firmen und Behörden verwenmdet worden sein. Damit war also die Zielsetzung nicht Sabotage, sondern eher Spionage.

Ebenfalls 2014 haben Experten von F-Secure mit der Trojaner-Familie Havex eine Schadsoftware entdeckt, die Industriespionage im großen Stil betreiben oder sogar die Kontrolle über Anlagen übernehmen kann. Die Havex-Trojaner verbreiteten sich vor allem über infizierte Downloads der Anbieter von ICS/SCADA-Systemen. Betroffenen waren Hersteller solcher Anlagen in Deutschland, Frankreich und Belgien.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

3 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

3 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago