Eine Hackergruppe mit dem Namen Dragonfly attackiert gezielt Unternehmen im Energiesektor. Die Angreifer sollen seit 2011 aktiv sein und haben, wie der Sicherheitsanbieter Symantec meldet, in der jüngsten Vergangenheit die Angriffe verstärkt. Demnach seien vor allem Energieversorger und Zulieferfirmen in den USA, der Türkei und der Schweiz Ziel der Angriffe. Aber auch in anderen Ländern und Regionen soll die Hackergruppe Aktiv sein.

Sicherheitsunternehmen hatten zu erst 2014 Informationen über Dragonfly veröffentlicht. Die Angreifer hatten dann die Angriffe eingestellt. Ende 2015 starteten sie die Aktivitäten mit der Kampagne “Dragonfly 2.0” wieder neue. Dabei kamen die gleichen Taktiken und Tools wie in der ersten Auflage zum Einsatz. Die Angreifer setzen auf Phishing-Attacken, in der über E-Mail Word-Dokumente verbreitet werden. Die Kompromittierung erfolgt aber auch über die bekannte Wasserloch-Methode (Watering-Hole-Angriff), bei der die Angreifer Websites infizieren, die häufig von Mitarbeitern im Energiesektor besucht werden. Weiterhin sorgen vorgetäuschte Updates für Adobe Flash für die Installation von Hintertüren.

Die Dragonfly-Gruppe scheint zunächst möglichst viel über Organisation und Arbeitsweise der Energieversorger erkunden zu wollen. Das Ziel ist offenbar vom Unternehmen dann in die Anlagen der Stromversorger zu wechseln. Damit bekämen die Angreifer die Kontrolle über die Netze. Sabotage von Energieanlagen, großflächige Stromausfälle oder der Zusammenbruch des gesamten Netzes, zählen die Sicherheitsexperten von Symantec als mögliche Folgen.

Sabotageakten gehe typischerweise eine Phase der Informationsgewinnung vorausgeht, so die Experten. Dabei sammeln die Angreifer Informationen über Ziel-Netzwerke und spähen Anmeldedaten aus, die für weitere Sabotageakte zum Einsatz kommen. Beispiele dafür seien Stuxnet und Shamoon, bei denen zuvor gestohlene Anmeldedaten genutzt wurden, um später zerstörerische Malware einzuschleusen. “Am besorgniserregendsten ist, dass wir jetzt sehen, wie sie in die betrieblichen Netzwerke von Energiefirmen eindringen”, sagte Symantec-Forscher Eric Chien gegenüber Ars Technica.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Die Dragonfly-Gruppe schein über sehr große Erfahrung zu verfügen, die auch die eigenen Aktivitäten sehr gut verschleiern kann. Hinweise auf die Identität der Hacker sind daher auch kaum vorhanden. Während einige Codestrings der Malware in russischer Sprache sind, finden sich andere in Französisch – die Verwendung der einen wie der anderen Sprache könnten daher aber auch falsch gelegte Spuren sein. Zeitmarken der Dateien geben immerhin einen geografischen Hinweis – die Autoren der Malware gingen demnach ihrer Tätigkeit jeweils von Montag bis Freitag zwischen 9 und 18 Uhr osteuropäischer Zeit nach.

Einen Blackout in der ukrainischen Hauptstadt Kiew soll bereits die Schadsoftware Industroyer verursacht haben, die auch als Crash Override bezeichnet wird. Diese Malware schreibt die Washington Post russischen Hackern zu, die mit der Putin-Regierung verbunden sind, Beweise dafür gibt es nicht. Industroyer verfügt über vier Komponenten, die der direkten Kontrolle von Schaltungen und Stromkreisunterbrechern in elektrischen Umspannwerken dienen. Jede von ihnen ist auf bestimmte Kommunikationsprotokolle ausgerichtet, die in industriellen Steuerungssystemen weltweit benutzt werden. Diese Schadsoftware eignet sich daher für Angriffe auf Stromnetze rund um die Welt.

[mit Material von Bernd Kling, ZDNet.de]

Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

9 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

14 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

15 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago