Pressemitteilungen

„BlackEnergy“ und „KillDisk“: Hacker testen Verwundbarkeit der ukrainischen Infrastruktur

Trend Micro-Recherchen ergeben: Nicht nur Energiesektor von Angriff betroffen

Tags: #blackenergy #killdisk #ukraine #targetedattacks #apt #stromversorger #bergbau #eisenbahngesellschaft #infrastruktur #ics #industriesteuerungsanlagen #industriesteuerungssysteme #hacker #cyberspione #trendmicro #news #nachrichten

Hallbergmoos, 12. Februar 2016. Der Angriff auf das ukrainische Stromnetz Ende Dezember hat zu Recht Furore gemacht. Er hat aufgezeigt, wie verwundbar öffentliche Infrastrukturen sein können. Weitere Untersuchungen des japanischen IT-Sicherheitsunternehmens Trend Micro haben nun jedoch ergeben, dass nicht nur Stromversorger, sondern auch eine Eisenbahngesellschaft und ein Bergbauunternehmen attackiert wurden – offenbar von denselben Hintermännern. Diese Attacken betreffen aber nicht nur die Ukraine, sondern sollten für alle Unternehmen mit vernetzten Industriesteuerungsanlagen ein Weckruf sein, ihre IT-Systeme besser gegen gezielte Angriffe zu schützen.

Dass ein Zusammenhang zwischen diesen verschiedenen Angriffen besteht, belegen einmal die Ähnlichkeiten der verwendeten Schädlinge. In allen drei Fällen kamen Varianten der Spionagesoftware „BlackEnergy“ und des Festplattenkillers „KillDisk“ zum Einsatz. Darüber hinaus wurde in allen drei Fällen mindestens ein gemeinsamer Befehls- und Kontrollserver genutzt. Dass nur der Angriff auf die Stromversorger im Zentrum des Medieninteresses stand, liegt daran, dass bei den anderen beiden Attacken keine merklichen Schäden oder Ausfälle zu beklagen waren.

Immer noch Testphase
Die Gemeinsamkeiten bei der verwendeten Schadsoftware und Infrastruktur sowie die zeitliche Nähe der Angriffe lassen vermuten, dass die Attacken zwar durchaus politisch motiviert waren, eine schwere und dauerhafte Beeinträchtigung des öffentlichen Lebens in der Ukraine aber nicht unbedingt Hauptziel der Hintermänner war. Die Trend Micro-Forscher gehen daher eher davon aus, dass die Angriffe dazu dienten, herauszufinden, welche Infrastrukturen in der Ukraine am verwundbarsten sind und ob die eigene Schadsoftware tatsächlich funktioniert. In diesem Sinne waren die Ereignisse Ende Dezember, so sehr der Stromausfall auch das öffentliche Leben vorübergehend gestört haben mag, eher ein Test für den (kriegerischen) Ernstfall oder im schlimmsten Fall eine Art Warnschuss.

Kritische Infrastrukturen müssen besser geschützt werden
Doch auch wenn im vergangenen Dezember in der Ukraine kein Notstand ausgelöst wurde, wäre es falsch, daraus keine Schlüsse für unsere Region zu ziehen. Die industriellen Steuerungssysteme (ICS-Systeme), mit denen unsere öffentlichen Infrastrukturen von der Strom- und Wasserversorgung bis zum Betrieb von Atomreaktoren kontrolliert und bedient werden, wurden nie für das Internetzeitalter gebaut. Sie sind jedoch immer häufiger mit dem Netz der Netze verbunden und damit prinzipiell angreifbar.

Günter Untucht, Justiziar beim japanischen IT-Sicherheitsanbieter Trend Micro, kommentiert: „Das deutsche IT-Sicherheitsgesetz geht mit seinem Ansatz, besonders kritische und daher schützenswerte Infrastrukturen und ihre Betreiber zu definieren und strikteren Sicherheitsauflagen zu unterwerfen, in die richtige Richtung. Allerdings steht die Veröffentlichung der Durchführungsverordnung mit klarer Nennung der betroffenen Branchen und Bereiche sowie Unternehmen und Organisationen noch aus. Denn die genaue Abgrenzung, was als kritisch und unkritisch einzustufen ist, fällt schwer.“

Die Unternehmen sollten sich unabhängig von ihrer Größe und ihrer Branchenzugehörigkeit bewusst sein, dass sie verwundbar sind, sobald sie ICS-Systeme einsetzen. Sind Schädlinge wie „KillDisk“ einmal im Umlauf, können auch sie Opfer eines Angriffs werden, der ihnen ursprünglich gar nicht galt. Es gilt daher, sich grundsätzlich gegen gezielte Angriffe auf Industriesteuerungsanlagen zu wappnen.

Weitere Informationen
Weiterführende Informationen enthält dieser Blogeintrag, eine Übersicht mit den wichtigsten Fragen zum Thema findet sich hier (beides in englischer Sprache). Zusätzliche Details zu den bei den Angriffen verwendeten Befehls- und Kontrollservern sowie den Hashwerten der gefundenen Schädlingsvarianten lassen sich hier abrufen.

Über Trend Micro

Als weltweit führender Cybersicherheitsanbieter verfolgt Trend Micro seit über 25 Jahren das Ziel, eine sichere Welt für den digitalen Datenaustausch zu schaffen.

Die Lösungen für Privatanwender, Unternehmen und Behörden bieten mehrschichtigen Schutz für Rechenzentren einschließlich cloudbasierter und virtualisierter Umgebungen, Netzwerke und Endpunkte – unabhängig davon, wo sich die Daten befinden: von (mobilen) Endgeräten über Netzwerke bis hin zur Cloud. Trend Micros Lösungen sind für gängige Rechenzentrums- und Cloudumgebungen optimiert und sorgen so dafür, dass wertvolle Daten automatisch vor aktuellen Bedrohungen geschützt sind. Die miteinander kommunizierenden Produkte bilden einen Schutzmechanismus, der durch zentrale Transparenz und Kontrolle eine schnellere, bessere Absicherung ermöglicht.

Um Bedrohungen schnell erkennen, verhindern und entfernen zu können, nutzen alle Lösungen das Smart Protection Network: Diese cloudbasierte Sicherheitsinfrastruktur verwendet die neuesten datenwissenschaftlichen Methoden zur Big-Data-Analyse.

Trend Micro bietet seine Lösungen weltweit über Vertriebspartner an. Der Hauptsitz des japanischen Anbieters, der mit mehr als 5.000 Mitarbeitern in über 50 Ländern aktiv ist, befindet sich in Tokio, die deutsche Niederlassung in Hallbergmoos bei München. In der Schweiz kümmert sich die Niederlassung in Glattbrugg bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.

Weitere Informationen zum Unternehmen und seinen Lösungen sind unter www.trendmicro.de verfügbar, zu aktuellen Bedrohungen unter blog.trendmicro.de sowie blog.trendmicro.ch. Anwender können sich auch unter @TrendMicroDE informieren.