Spionage
Hacker nehmen Energieversorger ins Visier
Die Hackergruppe »Dragonfly« greift gezielt Unternehmen aus dem Energiebereich an sowie Hersteller von Industrial Control Systems (ICS), die in der Energiewirtschaft eingesetzt werden. Symantec Security Strategist Thomas Hemker erklärte uns auf dem Symantec Vision Symposium in München die Hintergründe und mögliche Gegenmaßnahmen.
Energie&Technik: Herr Hemker, was hat Symantec über die Hackergruppe »Dragonfly« herausgefunden?
Thomas Hemker: Seit 2011 führt die Hackergruppe gezielt Angriffe gegen Unternehmen in westlichen Ländern durch, zunächst gegen nordamerikanische Luftfahrt- und Rüstungsunternehmen, seit 2013 dann gegen Firmen aus dem Energiesektor in Europa, genauer gesagt in Spanien, Frankreich, Italien, Deutschland, der Türkei, Polen, Rumänien, Griechenland und Serbien. Ziele waren Stromnetze, Pipelines, Windparks und die Hersteller Industrieller Steuerungsanlagen (ICS) für den Energiebereich.
Haben sich die Angreifer neuer Methoden bedient?
Bei den Angriffen ist nichts Neues verwendet worden. Mit Technologien, wie sie seit Jahren vorhanden sind, hätte man sich schützen können. Die beiden Hauptangriffstools der Dragonfly-Gruppe waren zwei Remote-Access-Trojaner (RAT): Backdoor.Oldrea und Karagany. Die Angriffsvektoren waren unterschiedlich. Mitarbeiter haben verseuchte PDFs als E-Mail-Anhänge bekommen und geöffnet, und so haben sich Trojaner installiert. Das nennt man Spear Phishing, d.h. die PDFs enthielten Schadcode, der bei den Angegriffenen eine Trojanerfunktion installierte.
Ferner haben wir sogenannte Wasserloch-Attacken festgestellt. Hier wurden legitime Webseiten gehackt und mit dem »Lightsout Exploit Kit« versehen, der bei den Seitenbesuchern Malware installierte. Sehr gravierend waren die aufgedeckten Supply Chain Hacks, die 2013 und 2014 bei drei ICS-Herstellern stattfanden. Hier wurden die herstellereigenen Software-Updates für ICS-Hardware gehackt, mit ausführbarem Schadcode versehen und auf die Hersteller-Webseiten geladen. So haben sich Kunden, die glaubten, sich legitime Software-Updates von den Hersteller-Webseiten zu installieren, wochenlang Schadcode heruntergeladen. Letztlich diente dieser Schadcode hauptsächlich der Informationsgewinnung, also der Spionage, und nicht der Sabotage. Die Angriffe hätten aber wie bei Stuxnet auch zur Sabotage, also der Zerstörung von Anlagen, ausgenutzt werden können.
Die Dragonfly-Hacker hatten also Zugriff auf die Industriellen Steuerungssysteme?
Ja, diese Industrial Control Systems, also SPS, Speicherprogrammierbare Steuerungen, sind von außen mit Passwörtern ansprechbar, die einem Externen erlauben, sich mit ihnen zu verbinden. Mit Passwort hat man quasi Vollzugriff. Wir konnten nachweisen, dass Daten abgeflossen sind, also Spionage betrieben wurde. Die Angriffsvektoren E-Mail und Webseiten richteten sich gegen die allgemeine Unternehmens-IT, während der Vektor ICS-Software sich gezielt gegen die ICS richtete.
Was bringt Sie zu der Annahme, dass hier Spionage stattgefunden hat?
Die vom Angreifer installierte Software kommunizierte über eine zentrale Infrastruktur, sogenannte Command- and Control-Server. Wir haben Zugriff auf diese Command- and Control-Server bekommen und konnten sie analysieren. Die Analyse der Zeiten, zu denen ein bestimmter Code eingecheckt, programmiert und kompiliert worden ist, lässt darauf schließen, dass es sich bei den Angreifern um staatliche Stellen handeln könnte. Die Angriffe lagen in der Zeitzone UTC+4, also der Moskauer Zeitzone. Für die Urheberschaft staatlicher Stellen spricht, dass die Hacker bis auf wenige Ausnahmen immer zu festen »Bürozeiten« von 9.00 Uhr bis 18.00 Uhr agierten.
- Hacker nehmen Energieversorger ins Visier
- Schutzmaßnahmen für Energieversorger
- Industrie 4.0 und Smart Grids erfordern »Security by Design«
Lesen Sie mehr zum Thema
