Malware-Tools zur Störung von industriellen Kontrollsystemen (ICS)
ICS-spezifische Malware-Tools wie Stuxnet, Triton oder Havel sind oft auf die Systeme der Zielumgebungen zugeschnitten.
Der jüngste Versuch der russischen Hackergruppe Sandworm, den Betrieb eines ukrainischen Energieversorgungsunternehmens zu stören, zeigt, dass es zunehmend Tools zur Störung industrieller Kontrollsysteme (ICS) gibt. Für den Angriff verwendete Sandworm eine aktualisierte Version eines Malware-Tools bekannt als Industroyer/CrashOverride. Industroyer ist eines von einer Handvoll hochentwickelter Tools, die Angreifern Zugang zu Systemen verschaffen, die die Betriebsanlagen von Energieversorgungsunternehmen, Öl- und Gasfirmen und anderen kritischen Infrastrukturen steuern. Mit diesem Angriffstool können Hacker zum Beispiel Stromausfälle auszulösen. Das ukrainische Computer-Notfallteam (CERT-UA) vereitelte den Angriff, bevor ein Schaden entstand. Das CERT stellte fest, dass die Angreifer Hochspannungsschaltanlagen und andere Infrastrukturelemente in der angegriffenen Anlage außer Betrieb setzen wollten.
Im Gegensatz zu anderer Malware, die oft gemeinsame Merkmale und Funktionen aufweist, sind ICS-spezifische Malware-Tools in der Regel stark auf die Zielumgebung zugeschnitten. Stuxnet zielte darauf ab, die Ausrüstung der iranischen Urananreicherungsanlage in Natanz zu beschädigen. Der aktuelle Industroyer war auf die Störung der speziellen Systeme der angegriffenen Anlage in der Ukraine abgestimmt.
Die bekanntesten Tools für Angriffe auf ICS sind:
Stuxnet
war der erste, öffentlich bekannte Fall von Malware, der speziell auf die Störung einer bestimmten ICS-Umgebung ausgerichtet war. Er zerstörte zahlreiche Zentrifugen in einer iranischen Urananreicherungsanlage in Natanz. Im Gegensatz zu modernen ICS-Bedrohungen, die aus der Ferne eingesetzt werden können, wurde Stuxnet auf USB-Sticks transportiert und verbreitete sich über Windows-Systeme. Die Malware suchte nach speicherprogrammierbaren Steuerungen von Siemens, die zur Überwachung elektromechanischer Geräte in der iranischen Urananreicherungsanlage eingesetzt wurden. McAfee hat mehrere Malware-Tools identifiziert, die Artefakte von Stuxnet-Code enthalten. Dazu gehören unter anderem Duqu oder Flame
Triton/Trisis
wurde 2017 bei einem gezielten Angriff auf eine saudi-arabische Ölraffinerie eingesetzt wurde. Die Malware zielte auf mehrere Modelle von Triconex ab, einem SIS von Schneider Electric, das die Ölraffinerie zur Überwachung kritischer Systeme in der Anlage verwendete. Hätte die Malware wie vorgesehen funktioniert, hätte sie möglicherweise Explosionen und die Freisetzung gefährlicher Gase in der Anlage auslösen können. Die Angriffsversuche wurden aber entdeckt und in zwei bekannten Fällen lösten sie eine automatische Abschaltung der gesamten Raffinerie aus.
Incontroller/PipeDream
ist die jüngste entdeckte ICS-spezifische Malware-Bedrohung. Die US-amerikanische CISA und hat festgestellt, dass die Malware eine besonders große Bedrohung für den Energiesektor darstellt. Incontroller besteht aus drei Malware-Tools und zielt auf SPS von Schneider Electric und Omron ab sowie auf Server, die auf Open Platform Communications Unified Architecture (OPC UA) basieren. Angreifer können die Malware nutzen, um SPS so zu manipulieren, dass es zu Betriebsunterbrechungen, Sicherheitsausfällen und potenziell katastrophalen physischen Zerstörungen kommen könnte. Incontroller/PipeDream nutzt keine Schwachstellen aus, um Zielsysteme zu kompromittieren. Stattdessen kommuniziert und interagiert es mit den SPS. Die Malware ist aufgrund ihrer Fähigkeit, systemeigene Funktionen zu nutzen, in Industriesystemen schwer zu erkennen.