Schrift:
Ansicht Home:
Netzwelt

Industroyer

Diese Malware soll Stromnetze angreifen

Sicherheitsexperten haben eine neue Malware entdeckt, die Industrieanlagen angreift. In Kiew soll sie bereits Stromausfälle verursacht haben. Doch der Angriff könnte nur eine Demonstration gewesen sein.

Eset

Industroyer-Logo von ESET

Von Uli Ries
Montag, 12.06.2017   20:46 Uhr

Am 17. Dezember 2016 ging im nördlichen Teil der ukrainischen Hauptstadt Kiew das Licht aus - flächendeckend. Der Grund war eine Cyberattacke auf das Versorgungsunternehmen UkrEnergo. Der Angriff wurde mit einer Software durchgeführt, deren Entwicklung so aufwendig war, dass dahinter staatliche Stellen vermutet werden.

Die Angreifer ließen ihre Tatwerkzeuge zurück, sodass unter anderem Sicherheitsforscher des Antivirenunternehmens ESET die "Industroyer" getaufte Schadsoftware analysieren konnten.

Das Besondere an Industroyer ist, dass der Schädling auf die in Umspannwerken gängigen ICS-Komponenten (Industrial Control System) optimiert worden ist. Die modular aufgebaute Malware kommuniziert ohne Umwege und standardkonform mit den in solchen Umgebungen gängigen Schaltern und Überspannungssicherungen verschiedener Hersteller.

Bei einem vergleichbaren Angriff im Jahr zuvor kam zweckentfremdete, herkömmliche Malware zum Einsatz, wie sie auch von Kriminellen für Online-Raubzüge verwendet wird.

Stromausfall nach Plan

Auch wenn die Autoren der Analyse das nicht explizit schreiben, so spricht doch viel dafür, dass die untersuchte Malware-Probe für den Stromausfall in der Ukraine im Dezember 2016 verantwortlich ist. Damit wäre Industroyer nach Stuxnet die zweite speziell für Industrieanlagen programmierte Schadsoftware, die auf eine aktive Anlage losgelassen wurde.

ESET wollte nicht bestätigen, dass der Schädling tatsächlich im Netz des ukrainischen Stromnetzbetreibers UkrEnergo gefunden wurde. Im Code eines der Module der Malware finden sich der Analyse zufolge aber zwei fest programmierte Daten: 17. und 20. Dezember 2016.

An diesen Tagen sollte die Malware in Aktion treten und unter anderem ein Modul starten, das mit den vor Ort installierten Industriesteuerungskomponenten kommuniziert. Nachdem die Umspannstation "North" von UkrEnergo am 17. Dezember ihren Dienst versagte, dürfte der untersuchte Schädling tatsächlich für den Ausfall verantwortlich sein.

Monatelang ausgehorcht

Um die Kommunikation mit den ICS-Komponenten verschiedener Hersteller, darunter ABB und Siemens, kümmern sich spezialisierte Module der Malware. Sie beherrschen die in Industrieumgebungen gängige Kommunikationsprotokolle. Industroyer missbraucht also keine Lücken in den ICS-Gerätschaften. Sondern spricht einfach in deren Sprache.

Damit die Module die jeweils passenden Kommandos zur Manipulation der Komponenten verschicken können, müssen die Angreifer zuvor das Netzwerk aushorchen. Dazu steuern sie ihre Software mittels zweier Hintertüren, die die Malware in das befallene System pflanzt. Eine dieser Hintertüren kommuniziert laut ESET verschlüsselt über das Tor-Netzwerk mit den Command & Control-Server der Angreifer und lässt sich so konfigurieren, dass sie nur außerhalb der Arbeitszeiten der Mitarbeiter im Umspannwerk aktiv wird.

Eset

Arbeitsschema der Industroyer-Malware

Die Sicherheitsexpertin Marina Krotofil sagte schon im Januar, nach einer ersten Analyse des Angriffs auf UkrEnergo, dass die Angreifer wahrscheinlich monatelang im Netzwerk aktiv waren und so die notwendigen Parameter zusammentragen konnten. Malware-Fachmann Candid Wüest von Symantec ist auch dieser Ansicht. Er sagte gegenüber SPIEGEL ONLINE: "Wenn Malware-Module Befehle direkt an ICS-Systeme senden können, dann haben die Angreifer sehr gute Kenntnisse über das Zielsystem". ESET zufolge lässt sich Industroyer durch seine Anpassungsfähigkeit in verschiedensten Umgebungen einsetzen, was seine Gefährlichkeit erhöhe.

Die Macher hinter dem Angriff überließen nichts dem Zufall, wie ein weiteres Modul aus ihrem Fundus belegt: Es ist speziell zum Ausschalten von Sicherungskomponenten wie den Siemens SIPROTEC-Geräten gemacht. Reagieren diese nicht mehr, fehlt der Umspannstation das Sicherungsnetz und ein Stromausfall ist unvermeidbar. Ob das Tool in der Ukraine zum Einsatz kam, ist derzeit nicht bekannt.

Schlamper oder Angeber?

Zur Modulsammlung gehört auch eine Löschfunktion. Sie könnte sämtliche Spuren des Angriffs verwischen, Konfigurationsdateien löschen und das Betriebssystem des befallenen Windows-PC in einen nicht startfähigen Zustand versetzen. Ob die Funktion ausfiel oder sie von den Angreifern gar nicht erst aktiviert wurde, ist unklar. Abgearbeitet wurde sie jedenfalls nicht, sonst wäre die Malware nicht aufgefunden worden.

Eventuell wollten die Angreifer aber auch nur ihre Fähigkeiten demonstrieren, indem sie die Werkzeuge zurückließen - wohl wissend, dass diese später analysiert würden. Die mit der Untersuchung von Industroyer betrauten Fachleute sind sich jedenfalls einig, dass monate- oder gar jahrelange Vorbereitung sowie eine Testumgebung mit Steuerungskomponenten verschiedener Hersteller nötig war, um die Malware zu entwickeln und zu testen.

Ob hinter der jüngsten Attacke auf das Stromnetz die gleichen Angreifer stecken, die ein Jahr zuvor ein anderes ukrainisches Energienetz angriffen, ist nicht klar. Für den Angriff im Jahr 2015 machten Fachleute die russische Hackergruppe Sandworm verantwortlich.

insgesamt 21 Beiträge
rjb26 12.06.2017
1. stuxnet 2.0
oder so, alles von der NSA, CIA unters Volk gebracht, ein bissl in chaotische Systemen ueben und dann richtig Kasse machen, da wo es was zu holen gibt
oder so, alles von der NSA, CIA unters Volk gebracht, ein bissl in chaotische Systemen ueben und dann richtig Kasse machen, da wo es was zu holen gibt
labuday 12.06.2017
2. habe ich da etwas nicht verstanden oder steht da WIE die Malware
ins System gekommen ist ? Da Siemens und Co nicht übers INET kommunizieren, muss ja ein Hacker irgendwo vor Ort gewesen sein.
ins System gekommen ist ? Da Siemens und Co nicht übers INET kommunizieren, muss ja ein Hacker irgendwo vor Ort gewesen sein.
Benjowi 13.06.2017
3. Smartmeter werden gesuchte Angriffsziele werden,
Das kann ja noch heiter werden. Insbesondere, wenn die sogenannten smartmeter in Deutschland zwangsweise verbreitet werden, die schon jetzt dafür bekannt sind, dass sie mehr Verluste als Nutzen erzeugen und alles andere als [...]
Das kann ja noch heiter werden. Insbesondere, wenn die sogenannten smartmeter in Deutschland zwangsweise verbreitet werden, die schon jetzt dafür bekannt sind, dass sie mehr Verluste als Nutzen erzeugen und alles andere als zuverlässig sein können, Denn dann werden sich nicht nur -möglicherweise staatlich geförderte -Hackergruppen motiviert sehen, hier Konfusion zu erzeugen, sondern alle Leute, die auf dem Gebiet aktiv sind. Die Versicherungen, diese Geräte seien sicher gegen Angriffe kann man getrost vergessen und in größerer Zahl manipuliert, kann durchaus Schaden über den Einzelfall hinaus entstehen-insbesondere, wenn damit Schaltfunktionen verbunden werden.
echoanswer 13.06.2017
4. Es stellt sich mir nur eine Frage
Warum werden sensible Industrieanlagen mit Netzwerken gekoppelt, die mit dem Internet verbunden sind? Das akzeptiere ich maximal für Wartungsarbeiten. Die gedankenlose Vernetzung ist ein Übel dieser Zeit.
Warum werden sensible Industrieanlagen mit Netzwerken gekoppelt, die mit dem Internet verbunden sind? Das akzeptiere ich maximal für Wartungsarbeiten. Die gedankenlose Vernetzung ist ein Übel dieser Zeit.
bayer1951 13.06.2017
5. Literaturempfehlung zum Thema...
...Auch und grade der hier schon angesprochenen Smartmeter: "Blackout" von Marc Elsberg.
...Auch und grade der hier schon angesprochenen Smartmeter: "Blackout" von Marc Elsberg.

Artikel

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP