2279504

Sabotage-Malware kann Stromnetze angreifen

13.06.2017 | 08:36 Uhr |

Ein hochkomplexer Schädling, der bereits an einem Angriff auf ein Stromnetz beteiligt gewesen sein soll, könnte ein ähnliches Gefahrenpotenzial aufweisen wie Stuxnet vor einigen Jahren.

Das Sicherheitsunternehmen ESET hat einen Schädling untersucht, der mutmaßlich bei einem Angriff auf das ukrainische Stromnetz Ende 2016 zum Einsatz kam. Die „Industroyer“ getaufte Malware nutzt industrielle Steuerungsprotokolle, die weltweit in der Energieversorgung und weiteren kritischen Infrastrukturbereichen eingesetzt werden. Das erinnert an die Stuxnet-Malware, die 2010 bekannt wurde und auf iranische Atomanlagen zielte.

ESET-Forscher untersuchen seit Monaten Malware-Dateien, die sie zu Industroyer rechnen. Das Sabotage-Tool wäre demnach jedenfalls geeignet, um Angriffe wie den auf das Stromnetz der Ukraine auszuführen. Industroyer enthält Komponenten, die jeweils auf bestimmte industrielle Steuerungssysteme spezialisiert sind. Dazu gehören etwa Siemens SIPROTECT-Geräte oder Leistungsregler von ABB. Industroyer kann Schaltanlagen und Leistungsschalter direkt manipulieren. Der Schädling kann auch für Angriffe auf andere kritische Infrastrukturelemente wie die Gas- oder Wasserversorgung umgerüstet werden.

Industroyer wird über das Tor-Netz kontrolliert, wo sich die C&C-Server (Malware-Mutterschiffe) verbergen. Neben der eigentlichen Hauptkomponente, die weitere Schadensmodule orchestriert, wird eine Reserve-Backdoor installiert, als Notepad-Programm getarnt. Diese stellt den Zugriff auf das Zielnetzwerk wieder her, falls das Hauptmodul entdeckt und entfernt wird. Weitere Komponenten dienen der Spurenbeseitigung nach erledigter Sabotage.

Wer hinter Industroyer steckt, ist noch unklar. Es muss jedenfalls, wie bei Stuxnet , eine Gruppe sein, die über gute Kenntnisse der anzugreifenden Steuerungssysteme verfügt. Es wird sich kaum um Wald- und Wiesenkriminelle handeln, eher um eine regierungsnahe Organisation. Nach Einschätzung von ESET könnte der Angriff auf das ukrainische Stromnetz lediglich ein Testlauf für Industroyer gewesen sein.

0 Kommentare zu diesem Artikel
2279504