Experten stellen neu entdeckte Malware Industroyer auf eine Stufe mit Stuxnet

Die vom IT-Security-Anbieter Eset “Win32/Industroyer” genannte Malware hat offenbar im Dezember vergangenen Jahres zu einem großflächigen Stromausfall in der Ukraine gesorgt. Anders als ein Jahr zuvor, als ebenfalls Mitte Dezember der Strom in und um die Hauptstadt Kiew ausgefallen war, drang Industroyer aber nicht über bekannte Lücken (CVE-2014-1761 und CVE-2014-4114) in Windwos-Systeme ein, sondern nutzte die neue Malware Eigenschaften in der Industrie verbreiteter Steuerungsprotokolle. Damit ist sie Eset zufolge ähnlich aufgebaut wie Stuxnet und in Hinblick auf das Gefahrenpotenzial mit dieser Malware auf eine Stufe zu stellen.

Die Malware Industroyer beschreibt Eset auch in einem nun vorgelegten, Bericht (PDF) ausführlich. Zudem hat sich die US-amerikanische Sicherheitsfirma Dragos intensiv mit der Schadsoftware beschäftigt (PDF), die von ihr aber “Crash Override” genannt wird.

Dragos ordnet den Angriff einer vermutlich russischen Hackergruppe zu, die es Electrum nennt. Die soll dabei dieselben Computersysteme benutzt haben, mit denen sie schon ein Jahr zuvor in der Ukraine für einen Stromausfall sorgte, von dem 700.000 Menschen betroffen waren. Allerdings wurde damals mit der Schadsoftware KillDisk und BlackEnergy eher “traditionelle Malware” verwendet.

“Crash Override” respektive “Industroyer” soll im Dezember 2016 das Stromnetz der ukrainischen Hauptstadt Kiew lahmgelegt haben und seit Stuxnet die größte Gefahr für industrielle Steuerungssystemen auch in anderen Bereichen und Branchen sein. (Bild: Peter Marwan)

“Es ist üblich, dass spezielle Software, die verwendet wird, um Software für Industrieanlagen zu programmieren und zu kontrollieren, auf PCs mit Betriebssystemen wie Windows oder Linux läuft. Die können mit ähnlicher oder sogar derselben Malware angegriffen werden, die sich auch gegen normale Internetnutzer richtet. Und natürlich können auch alle anderen gängigen Angriffswege gewählt werden, darunter auch die Ausnutzung menschlicher Fehler und Social Engineering”, erklärte damals Eset-Experte Robert Lipovsky.

Industroyer ist dagegen eine modulare Malware, deren wesentliche Komponente eine Hintertür ist, über die die Angreifer weitere Komponenten installieren und steuern. Im Gegensatz zu anderer Schadsoftware weist sie vier Komponenten auf, die der direkten Kontrolle von Schaltungen und Stromkreisunterbrechern in elektrischen Umspannwerken dienen. Jede davon ist auf bestimmte Kommunikationsprotokolle ausgerichtet, die in industriellen Steuerungssystemen benutzt werden. Diese Protokolle wurden vor Jahrzehnten entwickelt, als derartige Industriesysteme keine Netzwerkverbindung zur Außenwelt hatten. Heute kann Schadsoftware sie angreifen, indem sie sich dieser Protokolle bedient.

Sicherheitsexperten sehen Industroyer nun als die größte Gefahr für industrielle Steuerungssysteme seit dem Stuxnet-Wurm, der sich gegen iranische Atomzentrifugen richtet. Die von den Vereinigten Staaten und Israel entwickelte Schadsoftware infizierte später aber auch weltweit eine große Anzahl von Rechnern.

Laut Eset könnte die neue Malware empfindliche Schäden in Stromversorgungssystemen weltweit anrichten. Außerdem könnte sie jederzeit umgerüstet werden, um andere kritische Infrastrukturen anzugreifen.

Auswahl

Ausgewähltes Whitepaper

Fünf wichtige Aspekte bei der Auswahl eines Wide Area Networks

Erfolgreiches Netz-Design kann die Produktivität deutlich verbessern und neue Chancen für die digitale Geschäftsentwicklung eröffnen. Ein unzureichend dimensioniertes WAN hemmt dagegen das produktive Arbeiten und führt zu Frustration bei Mitarbeitern, Lieferanten und Kunden. In diesem Whitepaper erfahren Sie, worauf es zu achten gilt.

Industroyer scheint den Untersuchungen von Eset und Dragos zufolge besonders gefährlich zu sein, die erste Malware, die in die Fußstapfen von Stuxnet tritt, ist es aber nicht. So hatte etwa Symantec 2014 vor der in den Berichten des Unternehmens mit Stuxnet in Verbindung gebrachten Malware Regin gewarnt, die sich vor allem gegen Behörden und Telekommunikationsanbieter richtete.

Im selben Jahr warnte F-Secure vor der Trojaner-Familie Havex, die sich vor allem über infizierte Downloads der Anbieter von ICS/SCADA-Systemen verbeitete. Die betroffenen Hersteller saßen damals in Deutschland, Frankreich und Belgien, wo zunächst auch die meisten Angriffe beobachtet wurden. 2016 hatte der Security-Anbieter SentinelOne dann eine Furtim´s Parent genannte Malware bei einem nicht näher genannten europäischen Energieversorger entdeckt.

[mit Material von Bernd Kling, ZDNet.de]

Loading ...
Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago