zurück zur Übersicht

Wenn die Lichter ausgehen: BlackHat sorgt für Blackout

dummy_01-640x426_bAm 23. Dezember erlitten plötzlich die Hälfte der Häuser in der Region Iwano-Frankiwsk/Ukraine einen Stromausfall. Die ukrainische Presse meldete, dass der Ausfall durch die direkte Einwirkung von Malware verursacht wurde. Diese trennte mehrere Umspannstationen vom Netz, was zu besagtem Ausfall führte. Am darauf folgenden Montag gaben Forscher der Sicherheitsfirma iSIGHT Partners bekannt, dass die Proben, die ihnen von drei regionalen Betreibern übermittelt wurden, bösartigen Code enthielten. Nach Aussagen von iSIGHT führte die Malware zu fehlerhaften Verhalten in den Anlagen der Energieversorger, was wiederum den Ausfall verursachte. Sollte sich dies bestätigen, wäre dies das erste bekannte Beispiel eines durch eine Hacker-Gruppe verursachten Stromausfalls.

Forscher der Antivirus-Firma ESET haben bestätigt, dass mehrere ukrainische Kraftwerke mit der Malware BlackEnergy infiziert waren. Ursprünglich stammt diese aus dem Jahr 2007, sie wurde aber vor ca. 2 Jahren aktualisiert und mit neuen Features versehen. Die neuen Funktionen dienen unter anderem dazu, infizierte Computer unbrauchbar zu machen. Ein Beispiel ist die Funktion „KillDisk“, die einerseits in kritischen Komponenten die Festplatten zerstört, anderseits aber auch ICS (Industrial Control Systems) schwer beschädigen kann.

BlackEnergy im Detail

Bis zu diesem Zeitpunkt wurde BlackEnergy immer mit Spionage bei Nachrichtenorganisationen, Energieversorgungsunternehmen und anderen Industriegebieten in Verbindung gebracht. Auch wenn in der Branche die Meinungen auseinandergehen, ob BlackEnergy wirklich der Verursacher war, so kann man festhalten, dass das Tool auf jeden Fall die Fähigkeiten dazu besitzt. ESET stellte bei der Analyse der Proben, die sie von mehreren Stromversorgungsunternehmen in der Ukraine erhalten haben, fest, dass die KillDisk-Komponente der Malware zumindest theoretisch in der Lage ist, kritische Infrastruktursysteme zu zerstören.

Eine andere mögliche Erklärung ist jedoch, dass die SSH-Backdoor, die die Malware mitbringt, benutzt wurde, um sich remote auf die Systeme einzuloggen, um dann diese direkt zu manipulieren. KillDisk selbst wäre dann nur eine Art Antiforensik-Komponente um Spuren zu verwischen.

Die Gruppe hinter BlackEnergy hat die zerstörerischen Eigenschaften der Malware innerhalb des letzten Jahres massiv ausgebaut. Das ukrainische Computer Emergency Response Team (CERT) berichtete in einem Advisory, dass das KillDisk-Modul von BlackEnergy den Server einer Medienorganisationen infiziert und eine unbekannte Menge an Videos und anderem Content unwiederbringlich gelöscht hatte. Genau diese Komponente kam nun vermutlich auch bei den Energieversorgern zum Einsatz. ESET glaubt, dass dieses Modul nur dazu programmiert wurde, um bestimmte Daten zu löschen. Andererseits sucht KillDisk auf den infizierten Systemen auch nach Prozessen, die typischerweise in ICS-Systemen laufen und versucht diese zu terminieren oder durch eine eigenen Version zu ersetzen. Derzeit prüfen die ukrainischen Behörden, ob es sich um einen gezielten Cyber-Angriff auf das Land handelt. Als vermeintlicher Verursacher wird eine pro-russischen Gruppe vermutet.

Alte Taktik, neue Ziele

Als Angriffsvektor wurden bösartige Makros in Microsoft-Office-Dokumenten identifiziert. Dies zeigt, dass auch zentrale Infrastruktursysteme durch Social-Engineering-Taktiken attackiert werden können, wenn diese Steuerungssysteme nicht separiert und entsprechend geschützt werden. Im Gegensatz zu Malware-Infektionen im Office-Bereich, sind bei der Infektion von Kontrollsystemen im Worst-Case schnell Menschenleben in Gefahr. Leider ist zu erwarten, dass sich der Trend im Laufe des Jahres 2016 weiter fortsetzt und Cyber-Kriminelle vermehrt ICS-Systeme ins Visier nehmen. Um dem nicht schutzlos ausgeliefert zu sein, sollten jetzt entsprechende Gegenmaßnahmen ergriffen werden, um besonders gefährdete Systeme abzusichern.

Die iT-CUBE SYSTEMS AG ist Ihr Partner, wenn es um Planung, Konzeption und Betrieb von Industrial Security Lösungen geht. Kontaktieren Sie uns, wir beraten Sie gern!


 

Quellen:

http://arstechnica.com/security/2016/01/first-known-hacker-caused-power-outage-signals-troubling-escalation/
http://fortune.com/2016/01/05/cyber-attack-ukraine/
http://www.scmagazine.com/russian-blackenergy-malware-strikes-at-ukrainian-media-and-energy-firms/article/462916/
https://ics.sans.org/blog/2016/01/01/potential-sample-of-malware-from-the-ukrainian-cyber-attack-uncovered

Bild: ©iStock/busypix/Glühbirne

Schreibe einen Kommentar