Blackout des Energienetzes möglich
Bei der hochentwickelten Malware-Variante handelt es sich um eine Schadsoftware, die das Steuerungssysteme der industriellen Automatisierung mit raffinierter Malware infiziert und als Virus-Dropper die Freisetzung von Nutzdaten ermöglicht, wie all-about-security.de berichtete. Mit einer solchen Infektion kann es letztendlich zu einem völligen Blackout des Energienetzes kommen.
Den Sicherheitsexperten von SentinelOne gelang es einen komplexen Binärcode zu enthüllen, der die Handschrift eines im staatlichen Auftrag entwickelten Angriffs trägt, wobei die Indizien auf Osteuropa weisen. Laut den Forschern ist die Software Teil eines raffinierten, mehrstufigen und gezielten Angriffs, der typischerweise aus drei Phasen besteht:
- Die Umgehung bestehender Abwehrmaßnahmen,
- die Erkundung der anvisierten Netzwerkstruktur und Rückinformation an den Command-and-Control-Server sowie
- das Abgreifen der Nutzdaten.
Malware hat Technik mit Microsoft Windows Software im Focus
Die Malware hat Technik mit Microsoft Windows Software im Visier und wurde speziell dafür entwickelt, traditionelle Antivirus-Software und Firewalls, inklusive solcher, die statische und heuristische Techniken nutzen, zu umgehen. Daneben erkennt die Malware sowohl Sandbox-Umgebungen sowie Systeme, die biometrische Zugangskontrollen nutzen. Sie ist in der Lage, sich selbst wieder zu verschlüsseln und ihre Tätigkeit bis zum Entfernen aus der Versuchsumgebung einzustellen, um ihre Entdeckung zu verhindern.
Dazu kommentiert Udi Shamir, Chief Security Officer von SentinelOne:
„Die Ausgereiftheit der Malware und die Kosten, die mit der Entwicklung einer derart raffinierten Software verbunden sind, sprechen eindeutig für einen nationalstaatlichen Angriff“
„Hier waren offensichtlich mehrere Entwickler am Werk, die mehr als ein Duzend Antivirus-Lösungen rückentwickelt haben und außergewöhnliche Anstrengungen unternommen haben, um einer Entdeckung zu entgehen. Immerhin konnten sie u.a. bewirken, dass die AV-Software ausfällt ohne den Nutzer zu warnen. Angriffe dieser Art erfordern beträchtliche Mittel und viel Erfahrung und sind höchstwahrscheinlich das Ergebnis eines staatlichen Auftrags und nicht irgendeiner Gruppe von Cyberkriminellen zuzuschreiben.“
Die gute Nachricht: Die Schadsoftware Furtim kann entfernt werden
Die im Mai identifizierte Schadsoftware Furtim hat sich nun als Teil dieser bisher unbekannten Malware herausgestellt, die entsprechend Furtim´s Parent genannt wird. Die Entdeckung der Malware liefert neue Erkenntnisse zu jüngeren Angriffe auf kritische staatliche Infrastrukturen sowie dem Komplexitätsniveau ausgefeilter Verschleierungsmethoden. Es ist davon auszugehen, dass auch weitere Unternehmen von dem äußerst seltenen Malware-Sample infiziert worden sind. Dank den Ergebnissen der Untersuchung von SentinelOne ist es allerdings möglich, diese zu identifizieren und zu entfernen.
Zum ausführliche Bericht der Sicherheitsexperten von SentinelOne.
Weiterführende Links:
Cyberschutz für industrielle und kritische Infrastrukturen von Kaspersky
Infrastrukturen und multinationale Firmen im Visier von Cyber – Kriminellen
Bedrohung für kritische Infrastruktur
all-about-security.de: Staatlicher SCADA-Angriff auf westeuropäischen Energiekonzern entdeckt
