Eine neue Malware kann industrielle Steuerungssysteme manipulieren. Es handelt sich um eine Cyberwaffe, die bislang nicht eingesetzt wurde, aber Verletzte und Tote fordern könnte.Bild: watson
Das musst du über die neu entdeckte gefährlichste Malware der Welt wissen
Lebenswichtige, sogenannt «kritische» Industriesysteme sind durch eine neuartige Schadsoftware bedroht. Eine aktuelle Warnung der US-Behörden wird von alarmierenden Berichten von zwei Cybersecurity-Unternehmen begleitet. Dieser Beitrag dreht sich um die wichtigsten Fragen und Antworten.
«Pipedream ist eine klare und gegenwärtige Bedrohung für industrielle Kontrollsysteme und gefährdet deren Betrieb und Menschenleben.»
IT-Sicherheitsfirma Dragos
Was ist passiert?
Die US-Regierung hat am Mittwoch eine Cybersecurity-Warnung veröffentlicht, die aufhorchen lässt: Demnach wurde eine neuartige Schadsoftware entdeckt, die industrielle Steuerungssysteme manipulieren und Anlagen zerstören kann. Mit potenziell verheerenden Folgen bis hin zum Verlust von Menschenleben (dazu unten mehr).
Die gemeinsame Warnung stammt von folgenden grossen und einflussreichen Organisationen:
US-Energieministerium
CISA: die Agentur für Cybersicherheit und Infrastruktursicherheit des Heimatschutzministeriums
FBI: die US-Bundespolizei
NSA: National Security Agency
Das Cybersecurity-Unternehmen Dragos, das die Malware untersucht hat, sagt, eine mögliche Verwendung der Tools wäre die Deaktivierung industrieller Notabschaltsysteme.
Und das Cybersecurity-Unternehmen Mandiant, das ebenfalls bei der Untersuchung beteiligt war, erklärt, die Malware sei «das grösste Risiko für die Ukraine und andere Nationen, die auf die russische Invasion reagierten».
Die Warnung erfolgte einen Tag nachdem über die Entdeckung einer Cyberwaffe namens «Industroyer2» in der Ukraine informiert wurde. Diese Malware soll auf das Konto der russischen Elite-Hackegruppe Sandworm gehen und hätte laut Sicherheitsexperten die Stromversorgung lahmlegt.
Ist diese Malware wirklich so gefährlich?
Ja.
Mit Mandiant und Dragos haben zwei renommierte US-Cybersecurity-Unternehmen die Malware untersucht und ebenfalls am Mittwoch entsprechende Berichte veröffentlicht.
Was für Verwirrung sorgen könnte: Mandiant nennt die neue Malware Incontroller. Dragos bezeichnet das gleiche Schadprogramm als Pipedream. Bezüglich der Gefährlichkeit sind sich die Sicherheitsforscher beider Unternehmen einig.
«INCONTROLLER stellt eine aussergewöhnlich seltene und gefährliche Cyber-Angriffsfähigkeit dar. Es ist vergleichbar mit TRITON, das 2017 versuchte, ein industrielles Sicherheitssystem ausser Kraft zu setzen; INDUSTROYER, das 2016 einen Stromausfall in der Ukraine verursachte; und STUXNET, das um das Jahr 2010 herum das iranische Nuklearprogramm sabotierte.»
quelle: mandiant.com
«PIPEDREAM ist eine klare und gegenwärtige Bedrohung für die Verfügbarkeit, Kontrolle und Sicherheit von industriellen Kontrollsystemen und Prozessen und gefährdet Betrieb und Leben.»
quelle: dragos.com
Die 2017 in Saudi-Arabien entdeckte Malware Triton gilt als Vorläufer der nun publik gemachten Schadsoftware. Damals titelte das renommiere «MIT Technology Review»-Magazin, es handle sich um «die mörderischste Malware der Welt». Dies, weil sie Sicherheitssysteme deaktivieren könne, die dazu dienten, katastrophale Industrieunfälle zu verhindern.
«Diese physischen Controller und die zugehörige Software sind die letzte Verteidigungslinie gegen lebensbedrohliche Katastrophen. Sie sollen eingreifen, wenn sie gefährliche Zustände erkennen, Prozesse auf ein sicheres Niveau zurückführen oder ganz abschalten, indem sie Dinge wie Absperrventile und Druckentlastungsmechanismen auslösen.»
quelle: technologyreview.com
«APT-Akteure zielen auf bestimmte ICS/SCADA-Geräte ab und könnten vollen Systemzugriff erhalten, wenn sie unentdeckt bleiben.»
Warnung der NSA
Nach Angaben von Dragos handelt es sich erst um die siebte ICS-spezifische Malware, die jemals identifiziert wurde.
ICS und SCADA?
Industrielle Steuerungssysteme (ICS) sind ein zentrales Element für den Betrieb von Maschinen und Anlagen. Sie ermöglichen die Überwachung und Steuerung industrieller Prozesse, wie etwa an Bergwerksstandorten, in Ölraffinerien oder bei der Stromproduktion. ICS werden häufig über ein SCADA-System verwaltet («Supervisory Control and Data Acquisition»). Dieses hat eine grafische Benutzeroberfläche, um den Betrieb einfach zu beobachten und um Alarme zu erhalten, die auf eine Störung hinweisen.
Was ist so ungewöhnlich an dem Fund?
Die neue Schadsoftware wurde laut übereinstimmenden Berichten entdeckt, bevor sie gegen ein Unternehmen eingesetzt wurde und konkreten Schaden anrichten konnte.
«Dragos geht mit grosser Sicherheit davon aus, dass PIPEDREAM bisher nicht für störende oder zerstörerische Zwecke eingesetzt wurde. Dies ist ein seltener Fall, in dem bösartige Fähigkeiten analysiert werden, bevor sie gegen die Infrastruktur des Opfers eingesetzt werden, was den Verteidigern eine einzigartige Gelegenheit bietet, sich im Voraus vorzubereiten.»
quelle: dragos.com
Die US-Behörden empfehlen allen Anlagen-Betreibern und Cybersecurity-Verantwortlichen, Abwehrmassnahmen zu treffen, um die industriellen Netzwerke zu schützen. Dies sei dank der nun publik gemachten Informationen möglich.
Warum wird das genau jetzt publik gemacht?
Aufgrund der vorliegenden Informationen lässt sich nicht sagen, warum die US-Behörden ihre eindringliche Warnung ausgerechnet an diesem Mittwoch (14. April 2022) veröffentlicht haben. Hatten sie Hinweise auf einen kurz bevorstehenden Einsatz der Cyberwaffe gegen Ziele im Westen?
Das Cybersecurity-Unternehmen Dragos schreibt in seinem Bericht, dass es grundsätzlich zurückhaltend sei mit Hinweisen zu solchen Cyberbedrohungen. Diese, weil die entsprechenden Informationen oft «waffentauglich» seien und die Verteidiger von industriellen Kontrollsystemen (ICS) so viel Zeit wie möglich benötigten, um sich zu schützen.
Wie und wann wurde die Malware entdeckt?
Hierzu informieren die Beteiligten nur zurückhaltend.
Die Cybersecurity-Firma Dragos hat die neuartige Malware laut eigenen Angaben seit Anfang 2022 untersucht.
Es sei gelungen, die Schadsoftware «über das normale Business, unabhängige Forschung und Zusammenarbeit mit verschiedenen Partnern im Frühjahr» zu identifizieren.
Wer ist betroffen?
Verschiedene Wirtschaftszweige und Industrien, da die neuartige Malware laut den IT-Sicherheitsfachleuten erweitert werden könnte, um die industriellen Steuerungssysteme von hunderten unterschiedlicher Anbieter anzugreifen.
Die in den Berichten ungenannt bleibenden Akteure haben auch Angriffs-Tools integriert, um Windows-basierte Engineering-Arbeitsstationen unbemerkt zu infiltrieren.
«Das anfängliche Ziel scheint speziell auf Flüssigerdgas und Stromnetze ausgerichtet zu sein. Es liegt jedoch in der Natur der Malware, dass sie in einer Vielzahl von industriellen Steuerungen und Systemen funktioniert.»
Robert Lee, CEO von Dragos
Die modulartige Malware, die offenbar über herkömmliche IT-Netzwerke bis zu den Steuerungen der Industrieanlagen vordringen soll, attackiert folgende Geräte und Dienste:
PLC (Programmable Logic Controller) von Schneider Electric: das sind speicherprogrammierbare Maschinen-Steuerungen des weltweit tätigen französischen Unternehmens.
Sysmac von Omron: eine Industrie-Automatisierungsplattform des weltweit tätigen japanischen Unternehmens.
«OPC UA»: eines der wichtigsten Kommunikationsprotokolle für die Industrie 4.0 und das Internet der Dinge (IoT). Damit wird der Zugriff auf Maschinen, Geräte und andere Systeme im industriellen Umfeld standardisiert und ermöglicht den herstellerunabhängigen Datenaustausch.
Ein Auszug aus der langen Auflistung betroffener Geräte.screenshot: dragos
Um potenzielle Bedrohungen abzuschwächen und die eigenen industriellen Steuerungen (ICS und SCADA) abzusichern, empfehlen die Behörden den Betreibern, eine Multi-Faktor-Authentifizierung für den Fernzugriff durchzusetzen, Passwörter regelmässig zu ändern und «ständig nach böswilligen Indikatoren und Verhaltensweisen Ausschau zu halten».
Wer steckt dahinter?
Das ist öffentlich nicht bekannt.
Es handelt sich gemäss übereinstimmender Einschätzung der IT-Sicherheitsfachleute mit grösster Wahrscheinlichkeit um «staatlich geförderte Malware». Die Entwicklung und das Testen müssen sehr viel Geld gekostet haben.
Das an den Untersuchungen beteiligte Cybersecurity-Unternehmen Dragos verzichtet bewusst darauf, die Herkunft solcher Malware einzelnen Staaten zuzuordnen.
«Dragos geht mit hoher Wahrscheinlichkeit davon aus, dass sie von einem staatlichen Akteur mit der Absicht entwickelt wurde, Schlüssel-Infrastrukturen lahmzulegen.»
quelle: dragos.com
Das Cybersecurity-Unternehmen Mandiant schreibt:
«Wir können INCONTROLLER in diesem Stadium unserer Analyse keiner zuvor verfolgten Gruppe zuordnen, stellen jedoch fest, dass die Aktivität mit Russlands historischem Interesse an ICS übereinstimmt.»
Die Funktionalität der Malware stimme mit dem überein, was «bei früheren physischen Cyberangriffen Russlands» eingesetzt wurde. So etwa bei den Stromausfällen in der Ukraine 2015 und 2016. Die damaligen Angriffe wurden der russischen Elite-Hackergruppe Sandworm zugeschrieben.
Die US-Sicherheitsbehörde CISA hat seit der Invasion der Ukraine im Februar 2022 mehrere Warnungen vor Cyberangriffen auf Energieanlagen herausgegeben.
Der Schweizer IT-Sicherheitsexperte Marc Ruef, der mit seinem Unternehmen Scip AG unter anderem den Handel mit IT-Sicherheitslücken/Exploits beobachtet, schreibt:
«Grundsätzlich ist zu bedenken, dass SCADA-Systeme als Spezialsysteme gelten. Diese anzugreifen erfordert zielgerichtete Techniken, die entsprechend nur für eine Handvoll Angreifer interessant sind. Wir sehen eine entsprechende Ausrichtung von bekannten Akteuren in Indien, Russland und China.»
Gemäss eigenen Analysen sei das Interesse an Angriffen auf SCADA-Systeme im Oktober 2021 auf einem Tiefpunkt gewesen. Hingegen habe man im Februar und März 2022 «hohe Aktivitäten» beobachtet: Das Interesse an solchen Schwachstellen habe sich in dieser Zeit fast verdreifacht.
Dem Cybersecurity-Thema «Kritische Infrastruktur» werde inzwischen in den westlichen Ländern eine hohe Wichtigkeit beigemessen, sagt der Fachmann.
«Es ist absehbar, dass gewisse Akteure sehr konkrete Absichten auf entsprechende Angriffe haben. Dies wird ziemlich sicher auch mit der Beschaffenheit des Ukraine-Konflikts zusammenhängen.»
Marc Ruef, Cybersecurity-Experte
Was hat das mit Stuxnet zu tun?
Die von amerikanischen und israelischen Geheimdiensten gemeinsam entwickelte und gegen den Iran eingesetzte Cyberwaffe Stuxnet konnte gezielt industrielle Steuerungssysteme in einer Nuklearforschungsanlage manipulieren.
Es handelte sich um den ersten grossen Fall von Cyber-Sabotage, bei der eine Software beträchtlichen physischen Schaden anrichtete: Die für die Atomwaffen-Produktion gedachte Anreicherung von Uran wurde in Natanz massiv gestört, weil Zentrifugen durch Fehlsteuerung kaputt gingen.
Die gefährlichsten Cyberwaffen und ihre Folgen
1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Mit der Entdeckung von Stuxnet geriet erstmals eine von staatlichen Hackern entwickelte Cyberwaffe ungewollt in private Hände. Die Schadsoftware war sehr wahrscheinlich von den USA und Israel um 2006 entwickelt worden – auch wenn die beteiligten Verantwortungsträger bis heute schweigen.
APT-Gruppen sind besonders gefährliche Hackergruppen, die rund um den Globus zuschlagen und dabei spezielle Angriffswerkzeuge und eigene Malware einsetzen.
Das Kürzel APT steht für Advanced Persistent Threat («fortgeschrittene andauernde Bedrohung») und bezieht sich auf aufwändig konzipierte, massgeschneiderte Cyberattacken. Meist geht es den staatlichen Auftraggebern um Spionage, Sabotage sowie Desinformation und Propaganda.
Bei ihren Hackerangriffen gehen die Angreifer sehr zielgerichtet vor und nehmen – wenn erforderlich – einen beträchtlichen Aufwand auf sich, um nach dem ersten Eindringen in einen geschützten Computer das gesamte Netzwerk des Opfers auszukundschaften, «Hintertüren» zu installieren und sich dort unbemerkt für längere Zeit einzunisten.
Öfters verwenden die Angreifer sogenannte Zero-Day-Exploits, um ihre Ziele zu erreichen. Das sind massgeschneiderte Hacking-Tools, die unbekannte IT-Schwachstellen ausnutzen, gegen die noch kein Gegenmittel existiert. Häufig ist Microsoft-Software betroffen, allen voran die Windows-Betriebssysteme sowie Office-Programme.
Die amerikanische IT-Sicherheitsfirma Mandiant begann als erste damit, den im Versteckten agierenden und namenlosen Hackergruppen zwecks Wiedererkennung eine Nummer zu geben – den Anfang machte «APT1», eine Cyberspionage-Einheit der Volksrepublik China.
Ein weiteres bekanntes Schema zur Bezeichnung von staatlichen und staatsnahen Hackern stammt von der Firma Crowdstrike: Dabei erhält jede Gruppe den Namen eines für das Herkunftsland typischen Tieres (z.B. Panda für China, Bär für Russland) sowie einen leicht zu merkenden Begriff, der meist willkürlich auf eine Besonderheit der Gruppe deutet – wie etwa «Wicked Panda» oder «Cozy Bear».
Die IT-Sicherheitsfachleute von Microsoft wiederum verwenden chemische Elemente als Namensgeber, so bezeichnen sie etwa APT25 aus China als «Nickel».
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
Copyright
14.04.2022 11:28registriert März 2017
Ein fachlich fundierter und sehr aufschlussreicher Artikel über eine kritische Bedrohung… besten Dank 👍🏻
«Ungleichheiten und Mängel»: Nachhaltigkeitsberichte von Schweizer Konzernen in der Kritik
Die Stiftung Ethos hält die Nachhaltigkeitsberichterstattung von Schweizer Unternehmen für ungenügend. Ungleichheiten und Mängel gebe es etwa bei der Veröffentlichung von CO₂-Daten.
Für ihre Analyse hat die Stiftung die Nachhaltigkeitsberichte von 140 börsenkotierten Schweizer Unternehmen untersucht, die aufgrund gesetzlicher Bestimmungen erstmals einen solchen Bericht erstellen mussten. Gemäss dem am Donnerstag veröffentlichten Bericht hat nur die Hälfte dieser Unternehmen ihren Bericht nach einem international anerkannten Standard (GRI, SASB oder ESRS) erstellt.