Erneut haben Cyberkriminelle Zugang zu lebensnotwendigen Systemen von eventuell hunderten von europäischen Energieunternehmen erlangt. Dazu nutzen sie eine ausgeklügelte dreistufige Strategie – was es ihnen auch erlauben hätte können, die Energieversorgung in der gesamten Region lahmzulegen.

Die weitläufigen Angriffe stammen von einer Hacker-Gruppe aus Osteuropa, Dragonfly genannt. Vermutlich wird die Gruppe von einem der dortigen Staaten unterstützt. Zwar konzentrierten sich die Hacker hauptsächlich auf Spionage, ihr Eindringen hätte ihnen aber auch die Möglichkeit zur Sabotage gegeben. Symantec analysierte die Gruppe.

Der Sicherheitsfirma zufolge hätte Dragonfly

„die Energieversorgung in den betroffenen Ländern schädigen oder unterbrechen können“,

hätten sie die ihnen verfügbaren Möglichkeiten zur Sabotage genutzt.

Dragonfly zielte auf Stromnetzanbieter, Stromversorger, Betreiber von Pipelines und industrielle Zulieferer für Energieunternehmen. Die betroffenen Firmen sind in den USA, Spanien, Frankreich, Italien, Deutschland, der Türkei und Polen ansässig.

„Dragonfly zeigt alle Indizien einer von einem Staat gesponserten Operation, vor allem durch den hohen Grad an technischen Kenntnissen“,

so Symantec.

„Derzeit scheint das Hauptmotiv Cyberspionage zu sein, mit dem Potenzial für Sabotageaktivitäten darüber hinaus.“

Zwar ist Cyberspionage weit verbreitet, aber die Bedrohung durch Sabotage ist besonders beunruhigend. Experten warnen, dass Staaten die kritische Infrastruktur anderer Staaten testen und Schwachstellen vermerken könnten. Diese könnten im Falle von Feindseligkeiten ausgenutzt werden. Digitale Angriffe werden mehr und mehr in internationalen Konflikten angewandt. Die NATO hat ihre Cyberverteidigungsstrategie erst aktualisiert. Nun kann unter bestimmten Umständen ein Cyberangriff gleichwertig zu einem konventionellen Angriff behandelt werden.

Symantec zufolge hat Dragonfly zuvor Verteidigungs- und Luftfahrtunternehmen in den USA und Kanada angegriffen. Erst im letzten Jahr verschob sich der Fokus eher in Richtung europäischer und US-amerikanischer Energieunternehmen.

Die neueste Kampagne war in drei Phasen gegliedert: Zunächst sandte die Gruppe Phishing-E-Mails mit Malware gezielt an Angestellte der Firmen, hauptsächlich US-amerikanische und britische Energieunternehmen. Diese E-Mails mit PDF-Anhängen tarnten sich als Nachrichten von der Verwaltung über eher banale Themen wie Probleme mit einem Account oder einer Lieferung.

In der zweiten Phase kompromittierten die Hacker Webseiten, die die Angestellten der Zielfirmen wahrscheinlich besuchen würden. Diese leiteten die Betroffenen dann auf Webseiten mit einem Exploit-Kit weiter, welches Malware auf dem Rechner der Betroffenen installierte.

Die gewiefteste Attacke fand allerdings erst in Phase drei statt. Hier kompromittierten sie Anbieter von Steuerungs-Software. Wenn die Energieunternehmen deren Software nun herunterlud, installierten sie auch die Malware. Bevor einer der Anbieter dies entdeckte, wurde die infizierte Software bereits 250 Mal heruntergeladen.

Artikel von bloomberg.com, 01.07.2014: Russian Hackers Threaten Power Companies, Researchers Say
Artikel von zdnet.com, 01.07.2014: Hacker raid on energy companies for secrets raises sabotage fears