Das Ziel der Havex – Malware – Familie ist Industriespionage. Die clevere Lösung verbringt Trojaner in Installationsprogrammen von ICS- und SCADA-Software, also industrieller Prozess-Steuerungssoftware (ICS – Industrial Control System; SCADA – Supervisory Control and Data Acquisition).
Mit dieser Methode verschaffen sich die Angreifer Zugang zu entsprechenden Systemen und sogar kritischen Infrastrukturen. Die Nutzung kompromittierter Command and Control (C&C)-Server ist typisch für diese Malware-Gruppe. Das haben die Experten von F – Secure bereits im Frühjahr dieses Jahres festgestellt. Die Angreifer nutzen als Zwischenziel ICS-Hersteller-Websites mit Trojaner-infizierter Software, die zum Download bereitsteht. Damit sollen wiederum Computer infiziert werden, die an ICS-Umgebungen angebunden sind. Dies entspricht der “Watering-Hole”-Methode, bei der die Opfer an die “Wasserstelle” gelockt werden, wo der Feind lauert. Die Angreifer missbrauchen dabei vermutlich Schwachstellen in der Software, mit der die Websites betrieben werden, um legitime Software-Installer, die zum Download zur Verfügung stehen, durch infizierte zu ersetzen. Für die Angriffe sind zwei Hauptkomponenten nötig: ein Remote-Access-Trojaner (RAT) und ein Server mit der Skriptsprache PHP. Aus Mangel an Betriebserfahrung gelingt es ihnen jedoch nicht immer, die C&C-Server in einer professionellen Art und Weise zu steuern. Eine zusätzliche Komponente ist schädlicher Code, der es erlaubt Daten von infizierten Rechnern in industriellen Steuerungssystemen abzugreifen. Dies deutet darauf hin, dass die Cyber-Kriminellen daran interessiert sind, die vollständige Kontrolle über die industriellen Steuerungssysteme zu erlangen. F-Secure gelang es nun, aufgrund verdächtiger Aktivitäten infizierte Computer zu identifizieren, die mit diesen Servern in Verbindung treten. Dabei konnte F-Secure Angriffsziele in verschiedenen Branchen aufspüren. Darunter drei Softwareanbieter, die mit der Entwicklung von Anwendungen und Hardware für den industriellen Einsatz beschäftigt sind. Hauptziel der Angreifer seien jedoch, nach Meinung der F-Secure Experten, Unternehmen und Institutionen, die industrielle Anwendungen oder Maschinen entwickeln oder einsetzen. Die Mehrheit davon in Europa ansässig. Darunter befinden sich zwei wichtige Bildungseinrichtungen in Frankreich, zwei deutsche Hersteller von industriellen Anwendungen und Maschinen, ein französischen Maschinenhersteller und ein russisches Bauunternehmen.
