Das Sicherheitsunternehmen Symantec berichtet in einem Blog von einer großangelegten Attacke, die offenbar den Ursprung in Osteuropa hat. Bereits vor einigen Tagen hatte das finnische Sicherheitsunternehmen F-Secure von dieser Attacke berichtet. Jetzt warnt auch das zum Department of Homeland Security gehörende Industrial Control Systems Emergency Response Team (ICS-CERT) in einem Advisory vor der Attacke. Die Warnung basiert auf der Analyse von F-Secure.
Laut der Analyse von Symantec scheint die Attacke deutlich ausgedehnter zu sein, als von F-Secure beschrieben. So scheinen deutlich mehr Unternehmen in deutlich mehr Ländern nach wie vor von den Angriffen betroffen zu sein. Symantec führt diesen Angriff auf die Dragonfly-Gruppe zurück, die auch unter dem Namen Energetic Bear bekannt ist.
Die Attacke lasse sich bis in das Jahr 2011 zurückverfolgen. Zunächst standen offenbar vor allem kanadische und US-amerikanische Rüstungs- und Flugzeug-Unternehmen auf der Liste der Angreifer. Seit 2013 aber scheinen vor allem Unternehmen in USA und Europa aus dem Energiesektor in das Visier der Hacker zu geraten, wie die Sicherheitsexperten erklären.
“Dragonfly trägt den Stempel einer staatlichen Attacke, mit einem hohen Grad von technischem Wissen. Diese Gruppe kann Attacken über verschiedene Vektoren ausführen und ist auch in der Lage, in diesen Prozessen zahlreiche Webseiten von Dritten zu übernehmen”, heißt es in einem Symantec-Blog.
Die Dragonfly-Gruppe habe bereits seit langer Zeit zahlreiche Unternehmen aus der Energiebranche angegriffen. “Das aktuelle Hauptmotiv scheint Cyberspionage zu sein, und die Möglichkeit zur Sabotage scheint klar eine weitere Fähigkeit zu sein”, so die Symantec-Forscher weiter. In diesem Punkt scheint sich Havex/Energetic Bear/Oldrea auch von der Stuxnet-Attacke im Jahr 2009 zu unterscheiden, die offensichtlich primär auf das iranische Atomprogramm abzielte.
Wie auch in der Analyse von F-Secure des Havex-Schädlings bereits festgehalten, haben die Angreifer für die Verbreitung ihrer Attacke nicht nur Spam-Mails und Branchen-Websites infiltriert, sondern sogar die Download-Bereiche von Herstellern von Industriesteuerungssystemen (ICS) kompromittiert und dort legitime Downloads gegen infizierte Dateien ausgetauscht.
Zunächst aber seien die Rechner der betroffenen mit den Exploit Kits ‘Lightsout’ und ‘Hello’ infiziert worden. Diese Dateien enthalten den Schädling Havex, Backdoor.Oldrea oder Energetic Bear. Über diesen Trojaner können die Angreifer Informationen aus den Rechnern aber auch aus den Systemen an die Command and Control Server der Hacker weiterleiten.
Auch Symantec schweigt sich über die Identität der infizierten ICS-Anbieter aus. Laut F-Secure handelt es sich um Hersteller in Deutschland, Schweiz und Belgien.
Ein Unternehmen liefere laut Symantec VPN-Zugriff auf programmierbare Logic Controller (PLC).Der infizierte Download sei schnell entdeckt worden. Dennoch sei die Datei 250 herunter geladen worden. Ein weiteres betroffenes Unternehmen sei ein Hersteller von PLC-Geräten. Auf der Webseite des Herstellers sei der Trojaner im Juni und Juli 2013 etwa für sechs Wochen zum Download bereit gestanden. Das dritte Unternehmen soll laut Symantec ein Entwickler eines Management-Systems für Bio-Gas-Anlagen und Wind-Turbinen sein. Die Betroffene Software soll im April 2014 etwa zehn Tage lang zum Download bereit gestanden haben.
Symantec aber will Opfer der Attacke in Deutschland, Spanien, Italien, Frankreich, Türkei, Polen und den USA gefunden haben. Die ausgespähten Unternehmen sollen Stromnetzbetreiber, Stromlieferanten, Betreiber von Pipelines und andere Energie-Unternehmen sein. Das US-Sicherheitsunternehmen CrowdStrike hatte bereits 2013 von den Hackeraktivitäten im Energiesektor berichtet.
Die Sicherheitsforscher verorten den Ursprung der Attacke in Russland. Der Zeitstempel, den CrowdStrike aus den Attacken herauslesen konnte, scheint zu einer osteuropäischen Zeitzone zu passen. Zudem scheinen die Hacker in Schichten von 9 bis 18 Uhr gearbeitet zu haben. Auch das spreche für eine staatliche Beteiligung, erklären die Sicherheitsexperten.
Bislang habe es noch keine Hinweise darauf gegeben, dass die Angreifer, größeren Schaden anrichten wollen. Derzeit schien es eher darum zu gehen, möglichst viel über diese Unternehmen und die Branche herauszufinden.
In einem Interview mit der New York Times erklärte Adam Meyers, Chef der Sicherheitsforschung bei CrowdStrike, dass diese Hacker in jüngster Vergangenheit auch Unternehmen aus dem Finanzsektor angreifen würden. Die Angriffe hätten über so genannte Wasserloch-Angriffe auf Seiten statt gefunden, auf denen sich Investoren über Unternehmen aus dem Energiesektor informieren. Erst wenn sich der infizierte PC als lohnendes Ziel herausstellte, so Meyer, hätten die Angreifer ihre Schadsoftware aufgespielt. In anderen Fällen hätten die Hacker die Programme vom Rechner gelöscht.
Meyer nennt die Angriffe “sehr aggressiv” und die Angreifer würden großen Wert darauf legen, nicht entdeckt zu werden. Allerdings sei auch Sabotage eine Möglichkeit, den Schädling auszunutzen, warnt Meyer.
Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.