Havex wurde vom Sicherheitsspezialisten F – Secure als Remote-Access-Trojaner (RAT) kategorisiert. Mit diesem ist es möglich ein infiziertes System unter Kontrolle zu bringen und fernzusteuern. Im Brennpunkt stehen dabei spezielle Protokolle wie z.B. OLE for Process Control (OPC), die für ICS- und SCADA-Komponenten eingesetzt werden.
Über den RAT kann aber auch weitere Malware nachgeladen werden. Havex wurde bisher über E-Mail bzw. Spear Phishing,Waterhole-Angriffe und infizierte Software verbreitet. Wie die Experten von Symantec ermittelten, steckt eine Gruppe namens Dragonfly, auch bekannt als Energetic Bear, hinter den Infektionen. Ziel der Autoren ist die Vorbereitung eines breit angelegten Angriffs auf die Energieversorger insbesondere in West-Europa. Nach heutigem Informationsstand muss von hunderten bis tausenden von infizierten ICS- bzw. SCADA-Komponenten ausgegangen werden, die Teil eines über eine entsprechende C&C-Infrastruktur (Command & Control) gesteuerten Botnetzes sind. IT – Experten sehen die Gefahr dahinter, dass Angriffe auf Betreiber kritischer Infrastrukturen als eine effiziente Waffe im Cyberwar dienen werden. Unabhängig ob von staatlicher Seite getrieben, oder von einer Art Cybermafia, um Unternehmen zu erpressen.
