Multiple Malware greift industrielle Infrastrukturen an

Die Malware Industroyer

Es waren die IT-Experten des Sicherheitsunternehmens ESET, die den Schädling untersucht haben und ihm den Namen Industroyer gaben, wie pcwelt.de dazu ausführte. Er kam wahrscheinlich bei einem Angriff auf das ukrainische  Stromnetz Ende 2016 zum Einsatz.

Industroyer infiltriert industrielle Steuerungsprotokolle, die weltweit in der Energieversorgung und weiteren kritischen Infrastrukturbereichen eingesetzt werden. Damit funktioniert der Schädling ähnlich wie der aus der Vergangenheit bekannte Wurm Stuxnet, der im Jahre 2010 iranische Atomanlagen im Visier hatte.

Industroyer ein multipler Schädling

Monatelange Untersuchungen der ESET-Forscher ergaben, dass das Sabotage-Tool für Angriffe auf Stromnetze geeignet ist. Komponenten von Industroyer sind auf bestimmte industrielle Steuerungssysteme spezialisiert. Dazu gehören:

• Siemens SIPROTECT-Geräte
• Leistungsregler von ABB

Industroyer ist in der Lage zu direkten Manipulationen an:

• Schaltanlagen und
• Leistungsschaltern

Die Angriffe des Schädlings sind nicht nur auf Stromnetze begrenzt. Er kann ebenso auf Angriffe auf andere kritische Infrastrukturelemente wie die Gas- oder Wasserversorgung umgerüstet werden.

Kontrolle über Tor-Netz

Wie weiter dazu verlautet, wird Industroyer über das Tor-Netz kontrolliert, wo sich die C&C-Server (Malware-Mutterschiffe) verbergen. Neben der eigentlichen Hauptkomponente, die weitere Schadensmodule orchestriert, wird eine Reserve-Backdoor installiert, als Notepad-Programm getarnt. Diese stellt den Zugriff auf das Zielnetzwerk wieder her, falls das Hauptmodul entdeckt und entfernt wird. Weitere Komponenten dienen der Spurenbeseitigung nach erledigter Sabotage.

Unklar ist, wer die Autoren hinter Industroyer sind. Experten vermuten, ähnlich wie bei Stuxnet, eine Gruppe, die über gute Kenntnisse der anzugreifenden Steuerungssysteme verfügt. Eventuell könnte sich eine regierungsnahe Organisation dahinter verbergen.