Angreifer im ENTSO-E IT-Netzwerk
Mit Sitz in Brüssel, vertritt das ENTSO-E (European Network of Transmission System Operators for Electricity) 42 der größten Stromversorger in Europa. Es koordiniert die Verteilung des produzierten Stroms an Verbraucher in der EU. Anfang März wurde bekannt, dass das IT-Netzwerk von ENTSO-E von unbekannten Hackern infiltriert wurde.
Laut einem Bericht von Recorded Future, einer US-Firma für Cyber-Sicherheit, aus dem Januar dieses Jahres, war der Vorfall bei ENTSO-E mehrere Wochen lang unentdeckt geblieben. ENTSO-E berichtete später nur, dass der Angriff sich rein auf sein Büronetzwerk beschränkt habe und dass keine wichtigen Stromsysteme betroffen waren. Laut der Analyse von Recorded Future, hatte ein
„Command and Control (C2)-Server für einen RAT (Anm. Remote Access Trojaner, also Trojaner mit Zugriff von außerhalb des Netzwerks) im Zeitraum Ende November 2019 bis mindestens 5. Januar 2020 mit einem Mailserver einer europäischen Organisation im Bereich des Energiesektors kommuniziert“.
Demnach gab es wiederholt starken Datenverkehr zwischen dem ENTSO-E-Server und dem C2-Server. Daraus lässt sich ein Eindringen in die IT-Systeme ableiten. Der Bericht benennt ENTSO-E nicht direkt, aber interne Quellen der Branche bestätigen inoffiziell, dass der Vorfall auf ENTSO-E passt.
„Den Mailserver einer so wichtigen Organisation im Bereich kritischer Infrastruktur zu Hacken, könnte Unbefugten Zugang zu sensiblen Informationen über die Zuteilung der Energie und Ressourcen in Europa geben“,
schrieb Recorded Future in einem Blog Post. Eventuell könnten die so zusammen getragenen Infos nützlich sein, für Angriffe gegen einzelne wichtige Energieversorger. Genügend solcher Daten waren auf dem ENTSO-E-Server sicherlich vorhanden. Recorded Future berichtet aber, dass es dafür bisher keine Beweise gebe.
Die Analyse des von Recorded Future gesammelten Netzwerkverkehrs zeigte den Einsatz von RAT-Controllern. Mithilfe eigens entwickelter Signaturen, analysieren die Forscher der Insikt-Gruppe diese Controller dann näher und stießen auf einen PupyRAT Command and Control-Server. Die Frage blieb im Raum, wer hinter dem Angriff steckte. PupyRAT wird oft und von vielen verschiedenen Hackergruppen verwendet. Dieser Open-Source-RAT ist auf Github frei verfügbar. Laut dem Entwickler sei es ein „Plattform übergreifendes, multifunktionales RAT- und Verwertung-Tool, das überwiegend in Python geschrieben wurde“. Nachweislich verwendet wurde es zuvor schon von den iranischen Gruppen APT33 (Elfin, Magic Hound, HOLMIUM) und auch von COBALT GYPSY.
Vor allem im vergangenen Jahr nutzten die sogenannten „Iran-Nexus-Gruppen“ diesen RAT intensiv für ihre Operationen und waren damit sehr erfolgreich. Von Microsoft wissen wir, dass APT33 seine Angriffe auf IT-Netzwerke und physische Kontrollsysteme fokussiert. Insbesondere solche, die bei Stromversorgern, Fertigungsbetrieben und Ölraffinerien eingesetzt werden. Und derartige Angriffe haben zahlenmäßig stark zugenommen.
ENTSO-E informierte Anfang März seine Mitglieder über den Vorfall. Diese haben jeweils eigene Untersuchungen eingeleitet, die feststellen sollen, ob ihre individuellen Systeme davon betroffen sind. ENTSO-E berichtete über vorhandenen Notfallpläne, die „das Risiko und die Auswirkungen weiterer Angriffe verringern“ sollen. Recorded Future empfiehlt folgende Maßnahmen zur Abwehr von PupyRAT Angriffen:
- Wichtig sei das Überwachen von auffälligen und in schneller Folge stattfindenden Log-in-Versuch von derselben IP gegen verschiedene Konten. Diese Art von Aktivität sei zwar schwerer zu erkennen als traditionelle Brute-Force-Angriffe, helfe aber bei der Abschirmung entsprechender Cyberangriffe.
- Eine Multi-Faktor-Authentifizierung sollte eingeführt werden. Dies habe sich als eine äußerst wirksame Maßnahme erwiesen.
- Ein Passwort-Manager sollte verwendet werden. Außerdem sollten alle Konten individuelle und starke Passwörter haben.
- Protokolldaten sollten unbedingt analysiert und verglichen werden. Damit könnten Vorfälle mit hochfrequenten Aussperrungen, unbefugten Fernzugriffsversuchen, zeitlichen Überschneidungen von Angriffen über mehrere Benutzerkonten und vieles mehr erkannt werden.
Siehe auch:
- Neues Hackerziel: Europäischer Energiesektor
- Ausgeklügelte Hacker-Attacken gegen Energieunternehmen
- Energieunternehmen haben Schwierigkeiten, Versicherungen gegen Cyber-Attacken zu erhalten
- Ausgeklügelte Software Careto zielt auf Regierungen, Energieunternehmen und Finanzinstitute ab
- Malware auf Computern der Internationalen Atomenergiebehörde gefunden
- Mehr Betroffene als angenommen im US-Energiesektor-Sicherheitsvorfall
Artikel von cyberscoop.com, 13.03.2020: Hackers had access to European electricity organization’s email server for weeks: report
Artikel von recordedfuture.com, 23.01.2020: European Energy Sector Organization Targeted by PupyRAT Malware in Late 2019
Artiel von cyberscoop.com, 09.03.2020: European power grid organization says its IT network was hacked
Artikel von entsoe.eu, 09.03.2020: ENTSO-E has recently found evidence of a successful cyber intrusion into its office network
Beitragsbild: Public Domain, Creative Commons CC0, icon0.com über pexels.com.