Sicherheitsforscher haben eine Reihe von Attacken entdeckt, die unter Nutzung von Trojanern durchgeführt wurden. Ziel: Software industrieller Kontrollsysteme von Herstellern von SCADA- und ICS-Systemen. Einige der Systeme wurden dabei kompromittiert.

Die Mehrheit der Betroffenen ist in Europa ansässig, obwohl auch mindestens eine US-amerikanische Firma angegriffen wurde. Die kompromittierten Systeme senden Daten an die Botnet-Control-Server der Hacker.

Zwei der Opfer in Europa sind große Bildungsinstitute in Frankreich, die für Technologie-Forschung bekannt sind. Bei zwei weiteren handelt es sich um deutsche Hersteller von industriellen Anwendungen sowie Maschinen. Auch ein französischer Maschinenbauer und ein russisches Bauunternehmen sind betroffen.

Das Motiv hinter den Angriffen ist bisher genauso unklar wie die Identität der Hacker. Die Anfang des Jahres gestarteten Angriffe nutzten den Remote Access Trojaner (RAT) Havex und einen Server mit PHP.

Die finnische Sicherheitsfirma F-Secure dazu in einem Bericht:

„Die Angreifer stellten die Trojaner-Software zum Download auf den Webseiten der Hersteller bereit, um so die Computer bei einer Installation zu infizieren.“

„Wir haben 88 Varianten des Havex RAT gesammelt und ausgewertet, die Daten von für sie interessanten Netzwerken und Maschinen abgriffen. Diese Analyse beinhaltete auch die Untersuchung von 146 Command-and-Control-Servern, die von diesen Malware-Varianten kontaktiert wurden. Diese wiederum haben insgesamt rund 1.500 IP-Adressen hervorgebracht, die für die Identifikation der Opfer genutzt werden.“

Das Sammeln der Daten weist vermutlich darauf hin, dass die Hacker langfristig Kontrolle über die jeweiligen Systeme erlangen wollten. Haben sie einmal erfolgreich eine Hintertür in dem System implementiert, so gestattet dies die Installation weiterer Malware in einer zweiten Runde. Die Kriminellen nutzen kompromittierte Webseiten Dritter als Command-and-Control-Server, hauptsächlich Blogs. Zur Verbreitung des Trojaners setzen sie hauptsächlich Spam-E-Mails, Exploit-Kits oder infizierte Webseiten der Hersteller ein.

Daavid Hentunen und Antti Tikkanen von F-Secure:

„Scheinbar nutzten die Angreifer Schwachstellen in den Internetseiten der Hersteller, um dort zum Donwload bereitgestellte Software durch ihre Malware zu ersetzen.“

„Die Angreifer hinter Havex setzen für ihre Industriespionage eine geschickte Taktik ein. Software-Pakete für SCADA- und ICS-Systeme mit Trojanern zu infizieren, ist eine effektive Methode, um Zugriff auf die Zielsysteme zu erhalten. Eventuell beinhaltet diese auch kritische Infrastruktur“,

so F-Secure.

Weiter:

„Es ist typisch für diese Hacker-Gruppe, kompromittierte Server als C&C-Server zu nutzen. Allerdings gehen sie dabei nicht immer sehr sorgfältig um, was auf einen Mangel an Erfahrung schließen lässt. So konnten wir infizierte Rechner überwachen und Opfer aus verschiedenen Industriesparten identifizieren.“

„Die zusätzliche Bemühung, Details über die Hardware hinter den infizierten ICS-/SCADA-Systemen zu sammeln, zeigt das Interesse an einer vollständigen Kontrolle dieser Systeme“,

heißt es weiter.

Artikel von darkreading.com, 26.06.2014: As Stuxnet Anniversary Approaches, New SCADA Attack Is Discovered
Artikel von theregister.co.uk, 26.06.2014: Attackers fling Stuxnet-style RATs at critical control software in EUROPE
Artikel von f-secure.com, 23.06.2014: Havex Hunts For ICS/SCADA Systems