DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Eine neue Malware kann industrielle Steuerungssysteme manipulieren. Es handelt sich um eine Cyberwaffe, die bislang nicht eingesetzt wurde, aber Verletzte und Tote fordern könnte.
Eine neue Malware kann industrielle Steuerungssysteme manipulieren. Es handelt sich um eine Cyberwaffe, die bislang nicht eingesetzt wurde, aber Verletzte und Tote fordern könnte.Bild: watson

Das musst du über die neu entdeckte gefährlichste Malware der Welt wissen

Bedroht sind unter anderem Flüssiggas-Kraftwerke.
14.04.2022, 10:5814.04.2022, 13:09

Lebenswichtige, sogenannt «kritische» Industriesysteme sind durch eine neuartige Schadsoftware bedroht. Eine aktuelle Warnung der US-Behörden wird von alarmierenden Berichten von zwei Cybersecurity-Unternehmen begleitet. Dieser Beitrag dreht sich um die wichtigsten Fragen und Antworten.

«Pipedream ist eine klare und gegenwärtige Bedrohung für industrielle Kontrollsysteme und gefährdet deren Betrieb und Menschenleben.»
IT-Sicherheitsfirma Dragos

Was ist passiert?

Die US-Regierung hat am Mittwoch eine Cybersecurity-Warnung veröffentlicht, die aufhorchen lässt: Demnach wurde eine neuartige Schadsoftware entdeckt, die industrielle Steuerungssysteme manipulieren und Anlagen zerstören kann. Mit potenziell verheerenden Folgen bis hin zum Verlust von Menschenleben (dazu unten mehr).

Die gemeinsame Warnung stammt von folgenden grossen und einflussreichen Organisationen:

  • US-Energieministerium
  • CISA: die Agentur für Cybersicherheit und Infrastruktursicherheit des Heimatschutzministeriums
  • FBI: die US-Bundespolizei
  • NSA: National Security Agency

Das Cybersecurity-Unternehmen Dragos, das die Malware untersucht hat, sagt, eine mögliche Verwendung der Tools wäre die Deaktivierung industrieller Notabschaltsysteme.

Und das Cybersecurity-Unternehmen Mandiant, das ebenfalls bei der Untersuchung beteiligt war, erklärt, die Malware sei «das grösste Risiko für die Ukraine und andere Nationen, die auf die russische Invasion reagierten».

Die Warnung erfolgte einen Tag nachdem über die Entdeckung einer Cyberwaffe namens «Industroyer2» in der Ukraine informiert wurde. Diese Malware soll auf das Konto der russischen Elite-Hackegruppe Sandworm gehen und hätte laut Sicherheitsexperten die Stromversorgung lahmlegt.

Ist diese Malware wirklich so gefährlich?

Ja.

Mit Mandiant und Dragos haben zwei renommierte US-Cybersecurity-Unternehmen die Malware untersucht und ebenfalls am Mittwoch entsprechende Berichte veröffentlicht.

Was für Verwirrung sorgen könnte: Mandiant nennt die neue Malware Incontroller. Dragos bezeichnet das gleiche Schadprogramm als Pipedream. Bezüglich der Gefährlichkeit sind sich die Sicherheitsforscher beider Unternehmen einig.

«INCONTROLLER stellt eine aussergewöhnlich seltene und gefährliche Cyber-Angriffsfähigkeit dar. Es ist vergleichbar mit TRITON, das 2017 versuchte, ein industrielles Sicherheitssystem ausser Kraft zu setzen; INDUSTROYER, das 2016 einen Stromausfall in der Ukraine verursachte; und STUXNET, das um das Jahr 2010 herum das iranische Nuklearprogramm sabotierte.»
quelle: mandiant.com
«PIPEDREAM ist eine klare und gegenwärtige Bedrohung für die Verfügbarkeit, Kontrolle und Sicherheit von industriellen Kontrollsystemen und Prozessen und gefährdet Betrieb und Leben.»
quelle: dragos.com

Die 2017 in Saudi-Arabien entdeckte Malware Triton gilt als Vorläufer der nun publik gemachten Schadsoftware. Damals titelte das renommiere «MIT Technology Review»-Magazin, es handle sich um «die mörderischste Malware der Welt». Dies, weil sie Sicherheitssysteme deaktivieren könne, die dazu dienten, katastrophale Industrieunfälle zu verhindern.

«Diese physischen Controller und die zugehörige Software sind die letzte Verteidigungslinie gegen lebensbedrohliche Katastrophen. Sie sollen eingreifen, wenn sie gefährliche Zustände erkennen, Prozesse auf ein sicheres Niveau zurückführen oder ganz abschalten, indem sie Dinge wie Absperrventile und Druckentlastungsmechanismen auslösen.»
quelle: technologyreview.com
«APT-Akteure zielen auf bestimmte ICS/SCADA-Geräte ab und könnten vollen Systemzugriff erhalten, wenn sie unentdeckt bleiben.»
Warnung der NSA

Nach Angaben von Dragos handelt es sich erst um die siebte ICS-spezifische Malware, die jemals identifiziert wurde.

ICS und SCADA?
Industrielle Steuerungssysteme (ICS) sind ein zentrales Element für den Betrieb von Maschinen und Anlagen. Sie ermöglichen die Überwachung und Steuerung industrieller Prozesse, wie etwa an Bergwerksstandorten, in Ölraffinerien oder bei der Stromproduktion. ICS werden häufig über ein SCADA-System verwaltet («Supervisory Control and Data Acquisition»). Dieses hat eine grafische Benutzeroberfläche, um den Betrieb einfach zu beobachten und um Alarme zu erhalten, die auf eine Störung hinweisen.

Was ist so ungewöhnlich an dem Fund?

Die neue Schadsoftware wurde laut übereinstimmenden Berichten entdeckt, bevor sie gegen ein Unternehmen eingesetzt wurde und konkreten Schaden anrichten konnte.

«Dragos geht mit grosser Sicherheit davon aus, dass PIPEDREAM bisher nicht für störende oder zerstörerische Zwecke eingesetzt wurde. Dies ist ein seltener Fall, in dem bösartige Fähigkeiten analysiert werden, bevor sie gegen die Infrastruktur des Opfers eingesetzt werden, was den Verteidigern eine einzigartige Gelegenheit bietet, sich im Voraus vorzubereiten.»
quelle: dragos.com

Die US-Behörden empfehlen allen Anlagen-Betreibern und Cybersecurity-Verantwortlichen, Abwehrmassnahmen zu treffen, um die industriellen Netzwerke zu schützen. Dies sei dank der nun publik gemachten Informationen möglich.

Warum wird das genau jetzt publik gemacht?

Aufgrund der vorliegenden Informationen lässt sich nicht sagen, warum die US-Behörden ihre eindringliche Warnung ausgerechnet an diesem Mittwoch (14. April 2022) veröffentlicht haben. Hatten sie Hinweise auf einen kurz bevorstehenden Einsatz der Cyberwaffe gegen Ziele im Westen?

Das Cybersecurity-Unternehmen Dragos schreibt in seinem Bericht, dass es grundsätzlich zurückhaltend sei mit Hinweisen zu solchen Cyberbedrohungen. Diese, weil die entsprechenden Informationen oft «waffentauglich» seien und die Verteidiger von industriellen Kontrollsystemen (ICS) so viel Zeit wie möglich benötigten, um sich zu schützen.

Wie und wann wurde die Malware entdeckt?

Hierzu informieren die Beteiligten nur zurückhaltend.

Die Cybersecurity-Firma Dragos hat die neuartige Malware laut eigenen Angaben seit Anfang 2022 untersucht.

Es sei gelungen, die Schadsoftware «über das normale Business, unabhängige Forschung und Zusammenarbeit mit verschiedenen Partnern im Frühjahr» zu identifizieren.

Wer ist betroffen?

Verschiedene Wirtschaftszweige und Industrien, da die neuartige Malware laut den IT-Sicherheitsfachleuten erweitert werden könnte, um die industriellen Steuerungssysteme von hunderten unterschiedlicher Anbieter anzugreifen.

Die in den Berichten ungenannt bleibenden Akteure haben auch Angriffs-Tools integriert, um Windows-basierte Engineering-Arbeitsstationen unbemerkt zu infiltrieren.

«Das anfängliche Ziel scheint speziell auf Flüssigerdgas und Stromnetze ausgerichtet zu sein. Es liegt jedoch in der Natur der Malware, dass sie in einer Vielzahl von industriellen Steuerungen und Systemen funktioniert.»
Robert Lee, CEO von Dragos

Die modulartige Malware, die offenbar über herkömmliche IT-Netzwerke bis zu den Steuerungen der Industrieanlagen vordringen soll, attackiert folgende Geräte und Dienste:

  • PLC (Programmable Logic Controller) von Schneider Electric: das sind speicherprogrammierbare Maschinen-Steuerungen des weltweit tätigen französischen Unternehmens.
  • Sysmac von Omron: eine Industrie-Automatisierungsplattform des weltweit tätigen japanischen Unternehmens.
  • «OPC UA»: eines der wichtigsten Kommunikationsprotokolle für die Industrie 4.0 und das Internet der Dinge (IoT). Damit wird der Zugriff auf Maschinen, Geräte und andere Systeme im industriellen Umfeld standardisiert und ermöglicht den herstellerunabhängigen Datenaustausch.
Ein Auszug aus der langen Auflistung betroffener Geräte.
Ein Auszug aus der langen Auflistung betroffener Geräte.screenshot: dragos

Um potenzielle Bedrohungen abzuschwächen und die eigenen industriellen Steuerungen (ICS und SCADA) abzusichern, empfehlen die Behörden den Betreibern, eine Multi-Faktor-Authentifizierung für den Fernzugriff durchzusetzen, Passwörter regelmässig zu ändern und «ständig nach böswilligen Indikatoren und Verhaltensweisen Ausschau zu halten».

Wer steckt dahinter?

Das ist öffentlich nicht bekannt.

Es handelt sich gemäss übereinstimmender Einschätzung der IT-Sicherheitsfachleute mit grösster Wahrscheinlichkeit um «staatlich geförderte Malware». Die Entwicklung und das Testen müssen sehr viel Geld gekostet haben.

Das an den Untersuchungen beteiligte Cybersecurity-Unternehmen Dragos verzichtet bewusst darauf, die Herkunft solcher Malware einzelnen Staaten zuzuordnen.

«Dragos geht mit hoher Wahrscheinlichkeit davon aus, dass sie von einem staatlichen Akteur mit der Absicht entwickelt wurde, Schlüssel-Infrastrukturen lahmzulegen.»
quelle: dragos.com

Das Cybersecurity-Unternehmen Mandiant schreibt:

«Wir können INCONTROLLER in diesem Stadium unserer Analyse keiner zuvor verfolgten Gruppe zuordnen, stellen jedoch fest, dass die Aktivität mit Russlands historischem Interesse an ICS übereinstimmt.»

Die Funktionalität der Malware stimme mit dem überein, was «bei früheren physischen Cyberangriffen Russlands» eingesetzt wurde. So etwa bei den Stromausfällen in der Ukraine 2015 und 2016. Die damaligen Angriffe wurden der russischen Elite-Hackergruppe Sandworm zugeschrieben.

Die US-Sicherheitsbehörde CISA hat seit der Invasion der Ukraine im Februar 2022 mehrere Warnungen vor Cyberangriffen auf Energieanlagen herausgegeben.

Der Schweizer IT-Sicherheitsexperte Marc Ruef, der mit seinem Unternehmen Scip AG unter anderem den Handel mit IT-Sicherheitslücken/Exploits beobachtet, schreibt:

«Grundsätzlich ist zu bedenken, dass SCADA-Systeme als Spezialsysteme gelten. Diese anzugreifen erfordert zielgerichtete Techniken, die entsprechend nur für eine Handvoll Angreifer interessant sind. Wir sehen eine entsprechende Ausrichtung von bekannten Akteuren in Indien, Russland und China.»

Gemäss eigenen Analysen sei das Interesse an Angriffen auf SCADA-Systeme im Oktober 2021 auf einem Tiefpunkt gewesen. Hingegen habe man im Februar und März 2022 «hohe Aktivitäten» beobachtet: Das Interesse an solchen Schwachstellen habe sich in dieser Zeit fast verdreifacht.

Dem Cybersecurity-Thema «Kritische Infrastruktur» werde inzwischen in den westlichen Ländern eine hohe Wichtigkeit beigemessen, sagt der Fachmann.

«Es ist absehbar, dass gewisse Akteure sehr konkrete Absichten auf entsprechende Angriffe haben. Dies wird ziemlich sicher auch mit der Beschaffenheit des Ukraine-Konflikts zusammenhängen.»
Marc Ruef, Cybersecurity-Experte

Was hat das mit Stuxnet zu tun?

Die von amerikanischen und israelischen Geheimdiensten gemeinsam entwickelte und gegen den Iran eingesetzte Cyberwaffe Stuxnet konnte gezielt industrielle Steuerungssysteme in einer Nuklearforschungsanlage manipulieren.

Es handelte sich um den ersten grossen Fall von Cyber-Sabotage, bei der eine Software beträchtlichen physischen Schaden anrichtete: Die für die Atomwaffen-Produktion gedachte Anreicherung von Uran wurde in Natanz massiv gestört, weil Zentrifugen durch Fehlsteuerung kaputt gingen.

Die gefährlichsten Cyberwaffen und ihre Folgen

1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Quellen

Kuschelbären und böse Pandas
APT-Gruppen sind besonders gefährliche Hackergruppen, die rund um den Globus zuschlagen und dabei spezielle Angriffswerkzeuge und eigene Malware einsetzen.

Das Kürzel APT steht für Advanced Persistent Threat («fortgeschrittene andauernde Bedrohung») und bezieht sich auf aufwändig konzipierte, massgeschneiderte Cyberattacken. Meist geht es den staatlichen Auftraggebern um Spionage, Sabotage sowie Desinformation und Propaganda.

Bei ihren Hackerangriffen gehen die Angreifer sehr zielgerichtet vor und nehmen – wenn erforderlich – einen beträchtlichen Aufwand auf sich, um nach dem ersten Eindringen in einen geschützten Computer das gesamte Netzwerk des Opfers auszukundschaften, «Hintertüren» zu installieren und sich dort unbemerkt für längere Zeit einzunisten.

Öfters verwenden die Angreifer sogenannte Zero-Day-Exploits, um ihre Ziele zu erreichen. Das sind massgeschneiderte Hacking-Tools, die unbekannte IT-Schwachstellen ausnutzen, gegen die noch kein Gegenmittel existiert. Häufig ist Microsoft-Software betroffen, allen voran die Windows-Betriebssysteme sowie Office-Programme.

Die amerikanische IT-Sicherheitsfirma Mandiant begann als erste damit, den im Versteckten agierenden und namenlosen Hackergruppen zwecks Wiedererkennung eine Nummer zu geben – den Anfang machte «APT1», eine Cyberspionage-Einheit der Volksrepublik China.

Ein weiteres bekanntes Schema zur Bezeichnung von staatlichen und staatsnahen Hackern stammt von der Firma Crowdstrike: Dabei erhält jede Gruppe den Namen eines für das Herkunftsland typischen Tieres (z.B. Panda für China, Bär für Russland) sowie einen leicht zu merkenden Begriff, der meist willkürlich auf eine Besonderheit der Gruppe deutet – wie etwa «Wicked Panda» oder «Cozy Bear».

Die IT-Sicherheitsfachleute von Microsoft wiederum verwenden chemische Elemente als Namensgeber, so bezeichnen sie etwa APT25 aus China als «Nickel».
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group

1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Russland begeht grossflächige Cyberattacke

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

50 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Copyright
14.04.2022 11:28registriert März 2017
Ein fachlich fundierter und sehr aufschlussreicher Artikel über eine kritische Bedrohung… besten Dank 👍🏻
672
Melden
Zum Kommentar
avatar
El_Chorche
14.04.2022 11:32registriert März 2021
.
Das musst du über die neu entdeckte gefährlichste Malware der Welt wissen\n.
442
Melden
Zum Kommentar
avatar
KarlWeber
14.04.2022 12:23registriert März 2017
Keine Angst, der Bundesrat beobachtet die Situation bereits.
4713
Melden
Zum Kommentar
50
RuTube down: Hacker zerlegen das «russische YouTube» nach Strich und Faden
«RuTube», der russische YouTube-Klon, ist seit Montag komplett offline. Hacktivisten behaupten, dass das Video-Portal «möglicherweise für immer zerstört» sei. Die Betreiber widersprechen.

Unbekannte Hacker haben am 9. Mai, dem «Tag des Sieges» über Nazi-Deutschland, russische TV-Sender gehackt und Anti-Kreml-Botschaften über die Mattscheiben flimmern lassen. Gleichzeitig ging am Montag das in Russland populäre Video-Portal rutube.ru offline. Das «russische YouTube» war auch am Mittwoch weiterhin nicht erreichbar. Besucher bekamen die folgende Nachricht zu sehen:

Zur Story