Malware-Tools zur Störung von industriellen Kontrollsystemen (ICS) - silicon.de

2022-05-14 22:09:36 By : Ms. Stella Lan

Home » Nachrichten Maschinenbau

Malware-Tools zur Störung von industriellen Kontrollsystemen (ICS) Redaktion silicon.de , 25.4.2022, 10:54 Uhr Facebook Twitter Linkedin ICS-spezifische Malware-Tools wie Stuxnet, Triton oder Havel sind oft auf die Systeme der Zielumgebungen zugeschnitten. Der jüngste Versuch der russischen Hackergruppe Sandworm, den Betrieb eines ukrainischen Energieversorgungsunternehmens zu stören, zeigt, dass es zunehmend Tools zur Störung industrieller Kontrollsysteme (ICS) gibt. Für den Angriff verwendete Sandworm eine aktualisierte Version eines Malware-Tools bekannt als Industroyer/CrashOverride. Industroyer ist eines von einer Handvoll hochentwickelter Tools, die Angreifern Zugang zu Systemen verschaffen, die die Betriebsanlagen von Energieversorgungsunternehmen, Öl- und Gasfirmen und anderen kritischen Infrastrukturen steuern. Mit diesem Angriffstool können Hacker zum Beispiel Stromausfälle auszulösen. Das ukrainische Computer-Notfallteam (CERT-UA) vereitelte den Angriff, bevor ein Schaden entstand. Das CERT stellte fest, dass die Angreifer Hochspannungsschaltanlagen und andere Infrastrukturelemente in der angegriffenen Anlage außer Betrieb setzen wollten.

Im Gegensatz zu anderer Malware, die oft gemeinsame Merkmale und Funktionen aufweist, sind ICS-spezifische Malware-Tools in der Regel stark auf die Zielumgebung zugeschnitten. Stuxnet zielte darauf ab,  die Ausrüstung der iranischen Urananreicherungsanlage in Natanz zu beschädigen. Der aktuelle Industroyer war auf die Störung der speziellen Systeme der angegriffenen Anlage in der Ukraine abgestimmt.

Die bekanntesten Tools für Angriffe auf ICS sind:

Stuxnet war der erste,  öffentlich bekannte Fall von Malware, der speziell auf die Störung einer bestimmten ICS-Umgebung ausgerichtet war. Er zerstörte zahlreiche Zentrifugen in einer iranischen Urananreicherungsanlage in Natanz. Im Gegensatz zu modernen ICS-Bedrohungen, die aus der Ferne eingesetzt werden können, wurde Stuxnet auf USB-Sticks transportiert und verbreitete sich über Windows-Systeme. Die Malware suchte nach speicherprogrammierbaren Steuerungen von Siemens, die zur Überwachung elektromechanischer Geräte in der iranischen Urananreicherungsanlage eingesetzt wurden. McAfee hat mehrere Malware-Tools identifiziert, die Artefakte von Stuxnet-Code enthalten. Dazu gehören unter anderem Duqu oder Flame 

Triton/Trisis wurde 2017 bei einem gezielten Angriff auf eine saudi-arabische Ölraffinerie eingesetzt wurde. Die Malware zielte auf mehrere Modelle von Triconex ab, einem SIS von Schneider Electric, das die Ölraffinerie zur Überwachung kritischer Systeme in der Anlage verwendete. Hätte die Malware wie vorgesehen funktioniert, hätte sie möglicherweise Explosionen und die Freisetzung gefährlicher Gase in der Anlage auslösen können. Die Angriffsversuche wurden aber entdeckt und in zwei bekannten Fällen lösten sie eine automatische Abschaltung der gesamten Raffinerie aus.

Incontroller/PipeDream ist die jüngste entdeckte ICS-spezifische Malware-Bedrohung. Die US-amerikanische CISA und hat festgestellt, dass die Malware eine besonders große Bedrohung für den Energiesektor darstellt. Incontroller besteht aus drei Malware-Tools und zielt auf SPS von Schneider Electric und Omron ab sowie auf Server, die auf Open Platform Communications Unified Architecture (OPC UA) basieren. Angreifer können die Malware nutzen, um SPS so zu manipulieren, dass es zu Betriebsunterbrechungen, Sicherheitsausfällen und potenziell katastrophalen physischen Zerstörungen kommen könnte. Incontroller/PipeDream nutzt keine Schwachstellen aus, um Zielsysteme zu kompromittieren. Stattdessen kommuniziert und interagiert es mit den SPS. Die Malware ist aufgrund ihrer Fähigkeit, systemeigene Funktionen zu nutzen, in Industriesystemen schwer zu erkennen.

Industroyer/CrashOverride ist vermutlich der erste bekannte Fall von Malware, die ausschließlich auf das Stromnetz abzielt. Sie soll bei einem Angriff auf das ukrainische Stromnetz im Dezember 2016 zu einem stundenlangen Stromausfall in Teilen von Kiew geführt haben. Ein Merkmal der Malware ist die Tatsache, dass sie nicht auf eine bestimmte Technologie abzielt oder eine Sicherheitslücke ausnutzt. Stattdessen nutzt sie systemeigene ICS-Kommunikationsprotokolle, um mit Industriesystemen zu interagieren und ihnen bösartige Befehle zu erteilen, ohne dass dies einen Alarm auslösen würde.

BlackEnergy ist eine Malware, die ursprünglich für verteilte Denial-of-Service-Angriffe und zum Herunterladen von Spam und Malware verwendet wurde. Die Malware soll bei einem Cyberangriff auf den ukrainischen Stromversorger Prykarpattya Oblenerg im Dezember 2015 eine Rolle gespielt haben. Der Versorger nahm damals 30 Umspannwerke vom Netz, was einen sechsstündigen Stromausfall auslöste, von dem rund 100 Städte betroffen waren. Bei dem Angriff verschafften sich die Angreifer Zugang zu einem Windows-basierten Human-Machine-Interface-System (HMI) des Energieversorgers. Forscher, die den Angriff analysierten, fanden Beweise für BlackEnergy und einen Wiper namens KillDisk im Netzwerk des angegriffenen Stromversorgers. 

Havex ist ein Remote-Access-Trojaner (RAT), der erstmals 2014 von der russischen Gruppe Dragonfly – auch bekannt als Energetic Bear – gegen ICS/SCADA-Systeme in Unternehmen des Energiesektors eingesetzt wurde. Zunächst wurde die Malware verwendet, um Daten von infizierten Systemen und den Umgebungen zu sammeln, in denen die Systeme ausgeführt wurden. Eine Analyse von Trend Micro ergab, dass die Malware zusätzlichen Code herunterladen und ausführen konnte, der unter anderem dazu diente, Server auf Basis der Open Platform Communications (OPC)-Architektur zu finden und sich mit ihnen zu verbinden sowie Informationen zu sammeln, die später zur Kompromittierung der Geräte verwendet werden konnten.

 

Lesen Sie auch : Globale Sicherheitsausgaben sollen 2025 fast 200 Milliarden US-Dollar erreichen

Artikel empfehlen: 0 0   NEWSLETTER Abonnieren Sie unsere besten Artikel Facebook Twitter Linkedin X Brand Discovery Brand Discovery bietet Werbetreibenden die Möglichkeit, unsere professionelle Leserschaft direkt anzusprechen. Es handelt sich dabei um ein Werbeformat, das sich in den redaktionellen Inhalt und das gesamte Seitendesign einfügt und ein unaufdringliches aber dennoch eindrucksvolles Werbeerlebnis liefert. Leser können die Herkunft durch die Kennzeichnung “Brand Discovery“ einfach nachvollziehen. Für weitere Informationen stehen wir Ihnen unter der folgenden Adresse zur Verfügung: de-sales@netmediaeurope.com

ICS-spezifische Malware-Tools wie Stuxnet, Triton oder Havel sind oft auf die Systeme der Zielumgebungen zugeschnitten.

Der jüngste Versuch der russischen Hackergruppe Sandworm, den Betrieb eines ukrainischen Energieversorgungsunternehmens zu stören, zeigt, dass es zunehmend Tools zur Störung industrieller Kontrollsysteme (ICS) gibt. Für den Angriff verwendete Sandworm eine aktualisierte Version eines Malware-Tools bekannt als Industroyer/CrashOverride. Industroyer ist eines von einer Handvoll hochentwickelter Tools, die Angreifern Zugang zu Systemen verschaffen, die die Betriebsanlagen von Energieversorgungsunternehmen, Öl- und Gasfirmen und anderen kritischen Infrastrukturen steuern. Mit diesem Angriffstool können Hacker zum Beispiel Stromausfälle auszulösen. Das ukrainische Computer-Notfallteam (CERT-UA) vereitelte den Angriff, bevor ein Schaden entstand. Das CERT stellte fest, dass die Angreifer Hochspannungsschaltanlagen und andere Infrastrukturelemente in der angegriffenen Anlage außer Betrieb setzen wollten.

Im Gegensatz zu anderer Malware, die oft gemeinsame Merkmale und Funktionen aufweist, sind ICS-spezifische Malware-Tools in der Regel stark auf die Zielumgebung zugeschnitten. Stuxnet zielte darauf ab,  die Ausrüstung der iranischen Urananreicherungsanlage in Natanz zu beschädigen. Der aktuelle Industroyer war auf die Störung der speziellen Systeme der angegriffenen Anlage in der Ukraine abgestimmt.

Die bekanntesten Tools für Angriffe auf ICS sind:

Stuxnet war der erste,  öffentlich bekannte Fall von Malware, der speziell auf die Störung einer bestimmten ICS-Umgebung ausgerichtet war. Er zerstörte zahlreiche Zentrifugen in einer iranischen Urananreicherungsanlage in Natanz. Im Gegensatz zu modernen ICS-Bedrohungen, die aus der Ferne eingesetzt werden können, wurde Stuxnet auf USB-Sticks transportiert und verbreitete sich über Windows-Systeme. Die Malware suchte nach speicherprogrammierbaren Steuerungen von Siemens, die zur Überwachung elektromechanischer Geräte in der iranischen Urananreicherungsanlage eingesetzt wurden. McAfee hat mehrere Malware-Tools identifiziert, die Artefakte von Stuxnet-Code enthalten. Dazu gehören unter anderem Duqu oder Flame 

Triton/Trisis wurde 2017 bei einem gezielten Angriff auf eine saudi-arabische Ölraffinerie eingesetzt wurde. Die Malware zielte auf mehrere Modelle von Triconex ab, einem SIS von Schneider Electric, das die Ölraffinerie zur Überwachung kritischer Systeme in der Anlage verwendete. Hätte die Malware wie vorgesehen funktioniert, hätte sie möglicherweise Explosionen und die Freisetzung gefährlicher Gase in der Anlage auslösen können. Die Angriffsversuche wurden aber entdeckt und in zwei bekannten Fällen lösten sie eine automatische Abschaltung der gesamten Raffinerie aus.

Incontroller/PipeDream ist die jüngste entdeckte ICS-spezifische Malware-Bedrohung. Die US-amerikanische CISA und hat festgestellt, dass die Malware eine besonders große Bedrohung für den Energiesektor darstellt. Incontroller besteht aus drei Malware-Tools und zielt auf SPS von Schneider Electric und Omron ab sowie auf Server, die auf Open Platform Communications Unified Architecture (OPC UA) basieren. Angreifer können die Malware nutzen, um SPS so zu manipulieren, dass es zu Betriebsunterbrechungen, Sicherheitsausfällen und potenziell katastrophalen physischen Zerstörungen kommen könnte. Incontroller/PipeDream nutzt keine Schwachstellen aus, um Zielsysteme zu kompromittieren. Stattdessen kommuniziert und interagiert es mit den SPS. Die Malware ist aufgrund ihrer Fähigkeit, systemeigene Funktionen zu nutzen, in Industriesystemen schwer zu erkennen.

Industroyer/CrashOverride ist vermutlich der erste bekannte Fall von Malware, die ausschließlich auf das Stromnetz abzielt. Sie soll bei einem Angriff auf das ukrainische Stromnetz im Dezember 2016 zu einem stundenlangen Stromausfall in Teilen von Kiew geführt haben. Ein Merkmal der Malware ist die Tatsache, dass sie nicht auf eine bestimmte Technologie abzielt oder eine Sicherheitslücke ausnutzt. Stattdessen nutzt sie systemeigene ICS-Kommunikationsprotokolle, um mit Industriesystemen zu interagieren und ihnen bösartige Befehle zu erteilen, ohne dass dies einen Alarm auslösen würde.

BlackEnergy ist eine Malware, die ursprünglich für verteilte Denial-of-Service-Angriffe und zum Herunterladen von Spam und Malware verwendet wurde. Die Malware soll bei einem Cyberangriff auf den ukrainischen Stromversorger Prykarpattya Oblenerg im Dezember 2015 eine Rolle gespielt haben. Der Versorger nahm damals 30 Umspannwerke vom Netz, was einen sechsstündigen Stromausfall auslöste, von dem rund 100 Städte betroffen waren. Bei dem Angriff verschafften sich die Angreifer Zugang zu einem Windows-basierten Human-Machine-Interface-System (HMI) des Energieversorgers. Forscher, die den Angriff analysierten, fanden Beweise für BlackEnergy und einen Wiper namens KillDisk im Netzwerk des angegriffenen Stromversorgers. 

Havex ist ein Remote-Access-Trojaner (RAT), der erstmals 2014 von der russischen Gruppe Dragonfly – auch bekannt als Energetic Bear – gegen ICS/SCADA-Systeme in Unternehmen des Energiesektors eingesetzt wurde. Zunächst wurde die Malware verwendet, um Daten von infizierten Systemen und den Umgebungen zu sammeln, in denen die Systeme ausgeführt wurden. Eine Analyse von Trend Micro ergab, dass die Malware zusätzlichen Code herunterladen und ausführen konnte, der unter anderem dazu diente, Server auf Basis der Open Platform Communications (OPC)-Architektur zu finden und sich mit ihnen zu verbinden sowie Informationen zu sammeln, die später zur Kompromittierung der Geräte verwendet werden konnten.

Abonnieren Sie unsere besten Artikel

Brand Discovery bietet Werbetreibenden die Möglichkeit, unsere professionelle Leserschaft direkt anzusprechen. Es handelt sich dabei um ein Werbeformat, das sich in den redaktionellen Inhalt und das gesamte Seitendesign einfügt und ein unaufdringliches aber dennoch eindrucksvolles Werbeerlebnis liefert. Leser können die Herkunft durch die Kennzeichnung “Brand Discovery“ einfach nachvollziehen. Für weitere Informationen stehen wir Ihnen unter der folgenden Adresse zur Verfügung: de-sales@netmediaeurope.com