Pressemitteilungen

„BlackEnergy“ und „KillDisk“: Hacker testen Verwundbarkeit der ukrainischen Infrastruktur

Trend Micro-Recherchen ergeben: Nicht nur Energiesektor von Angriff betroffen

Tags: #blackenergy #killdisk #ukraine #targetedattacks #apt #stromversorger #bergbau #eisenbahngesellschaft #infrastruktur #ics #industriesteuerungsanlagen #industriesteuerungssysteme #hacker #cyberspione #trendmicro #news #nachrichten

Hallbergmoos, 12. Februar 2016. Der Angriff auf das ukrainische Stromnetz Ende Dezember hat zu Recht Furore gemacht. Er hat aufgezeigt, wie verwundbar öffentliche Infrastrukturen sein können. Weitere Untersuchungen des japanischen IT-Sicherheitsunternehmens Trend Micro haben nun jedoch ergeben, dass nicht nur Stromversorger, sondern auch eine Eisenbahngesellschaft und ein Bergbauunternehmen attackiert wurden – offenbar von denselben Hintermännern. Diese Attacken betreffen aber nicht nur die Ukraine, sondern sollten für alle Unternehmen mit vernetzten Industriesteuerungsanlagen ein Weckruf sein, ihre IT-Systeme besser gegen gezielte Angriffe zu schützen.

Dass ein Zusammenhang zwischen diesen verschiedenen Angriffen besteht, belegen einmal die Ähnlichkeiten der verwendeten Schädlinge. In allen drei Fällen kamen Varianten der Spionagesoftware „BlackEnergy“ und des Festplattenkillers „KillDisk“ zum Einsatz. Darüber hinaus wurde in allen drei Fällen mindestens ein gemeinsamer Befehls- und Kontrollserver genutzt. Dass nur der Angriff auf die Stromversorger im Zentrum des Medieninteresses stand, liegt daran, dass bei den anderen beiden Attacken keine merklichen Schäden oder Ausfälle zu beklagen waren.

Immer noch Testphase
Die Gemeinsamkeiten bei der verwendeten Schadsoftware und Infrastruktur sowie die zeitliche Nähe der Angriffe lassen vermuten, dass die Attacken zwar durchaus politisch motiviert waren, eine schwere und dauerhafte Beeinträchtigung des öffentlichen Lebens in der Ukraine aber nicht unbedingt Hauptziel der Hintermänner war. Die Trend Micro-Forscher gehen daher eher davon aus, dass die Angriffe dazu dienten, herauszufinden, welche Infrastrukturen in der Ukraine am verwundbarsten sind und ob die eigene Schadsoftware tatsächlich funktioniert. In diesem Sinne waren die Ereignisse Ende Dezember, so sehr der Stromausfall auch das öffentliche Leben vorübergehend gestört haben mag, eher ein Test für den (kriegerischen) Ernstfall oder im schlimmsten Fall eine Art Warnschuss.

Kritische Infrastrukturen müssen besser geschützt werden
Doch auch wenn im vergangenen Dezember in der Ukraine kein Notstand ausgelöst wurde, wäre es falsch, daraus keine Schlüsse für unsere Region zu ziehen. Die industriellen Steuerungssysteme (ICS-Systeme), mit denen unsere öffentlichen Infrastrukturen von der Strom- und Wasserversorgung bis zum Betrieb von Atomreaktoren kontrolliert und bedient werden, wurden nie für das Internetzeitalter gebaut. Sie sind jedoch immer häufiger mit dem Netz der Netze verbunden und damit prinzipiell angreifbar.

Günter Untucht, Justiziar beim japanischen IT-Sicherheitsanbieter Trend Micro, kommentiert: „Das deutsche IT-Sicherheitsgesetz geht mit seinem Ansatz, besonders kritische und daher schützenswerte Infrastrukturen und ihre Betreiber zu definieren und strikteren Sicherheitsauflagen zu unterwerfen, in die richtige Richtung. Allerdings steht die Veröffentlichung der Durchführungsverordnung mit klarer Nennung der betroffenen Branchen und Bereiche sowie Unternehmen und Organisationen noch aus. Denn die genaue Abgrenzung, was als kritisch und unkritisch einzustufen ist, fällt schwer.“

Die Unternehmen sollten sich unabhängig von ihrer Größe und ihrer Branchenzugehörigkeit bewusst sein, dass sie verwundbar sind, sobald sie ICS-Systeme einsetzen. Sind Schädlinge wie „KillDisk“ einmal im Umlauf, können auch sie Opfer eines Angriffs werden, der ihnen ursprünglich gar nicht galt. Es gilt daher, sich grundsätzlich gegen gezielte Angriffe auf Industriesteuerungsanlagen zu wappnen.

Weitere Informationen
Weiterführende Informationen enthält dieser Blogeintrag, eine Übersicht mit den wichtigsten Fragen zum Thema findet sich hier (beides in englischer Sprache). Zusätzliche Details zu den bei den Angriffen verwendeten Befehls- und Kontrollservern sowie den Hashwerten der gefundenen Schädlingsvarianten lassen sich hier abrufen.

Über Trend Micro

Als weltweit führender Anbieter von Sicherheitssoftware und -lösungen hat Trend Micro das Ziel, eine sichere Welt für den Austausch digitaler Daten zu schaffen. Seit 25 Jahren lassen sich unsere Mitarbeiter dazu inspirieren, Einzelpersonen, Familien, Unternehmen und Behörden zu schützen, während sie das Potenzial moderner Technologien und neuer Methoden zum Datenaustausch ausschöpfen.

In modernen Unternehmen sind Daten zum größten strategischen Wert geworden, da sie Wettbewerbsvorteile fördern und optimierte Betriebsabläufe ermöglichen. Mit dem sprunghaften Anstieg bei der Nutzung von mobilen Geräten, sozialen Netzwerken und Cloud-Technologien, stellt der Schutz dieser Daten eine immer größere Herausforderung dar. Unternehmen brauchen eine intelligente Sicherheitsstrategie.

Trend Micro ermöglicht intelligenten Datenschutz durch innovative Sicherheitslösungen, die sich ganz einfach verteilen und verwalten lassen und die sich nahtlos in sich ständig wandelnde Umgebungen einfügen. Lösungen von Trend Micro bieten mehrschichtigen Schutz für digitale Inhalte, sei es auf mobilen Geräten, Endpunkten, Servern, an Gateways oder in der Cloud. Durch den Einsatz dieser Lösungen können Unternehmen ihre Anwender, ihre modernen wachsenden Rechenzentren und Cloud-Ressourcen schützen sowie Daten, die durch komplexe, gezielte Angriffe gefährdet sind.

Alle Lösungen werden unterstützt durch die cloudbasierten Bedrohungsinformationen des Trend Micro™ Smart Protection Network™ sowie durch mehr als 1.200 Bedrohungsexperten weltweit.

Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.
Folgen Sie uns auch auf Twitter unter @TrendMicroDE.