Suchen

Industrial Security

Industrial Security: der Malware auf der Spur

Seite: 2/3

Firmen zum Thema

Industroyer: Gezielte Industrie-Attacke verdunkelt Heiligabend in Kiew

Industroyer, auch als Crash Override bekannt, war ein gezielter Angriff auf ein 200-MW-Umspannwerk in der Ukraine Ende Dezember 2016. Der Angriff nahm das Umspannwerk vom Netz. Es war über eine Stunde offline und konnte vom Betreiber nicht gesteuert werden. Das führte zu einem Stromausfall in der ukrainischen Hauptstadt Kiew – wenige Stunden vor Heiligabend. Die modular aufgebaute Malware ist auf Industrial-Control-Systeme (ICS) ausgerichtet, um größtmöglichen Schaden anzurichten. Ihr Angriffsvektor ist bis heute unbekannt. Experten vermuten, dass damit nur die Machbarkeit eines zukünftigen Cyberangriffs getestet werden sollte. Es ging darum, Informationen zu sammeln, um irgendwann einmal in der Lage zu sein, ganze Betriebsabläufe zu stoppen oder einzelne Geräte zu zerstören.

Der Industroyer-Code enthält gültige Steuerbefehle und konnte den Betrieb tatsächlich unterbrechen. Noch gravierender: Es gibt Hinweise darauf, dass der Malwarecode dem Control Center falsche Werte liefern kann (wie Stuxnet) oder ein Umspannwerk in einen Fail-safe-Modus setzen kann. Was passierte genau? Die Industroyer-Malware sammelte zuerst Informationen über bestimmte Arbeitsläufe innerhalb des Netzwerks, zum Beispiel Informationen über deren Kommunikation und Konfiguration. Sobald sich die Malware als gefälschter Systemprozess in das Netzwerk eingenistet hatte, wurden gültige Steuerbefehle an die angeschlossenen Stromunterbrecher und die Schalter weitergeleitet. Dadurch konnte das Umspannwerk vom Übertragungsnetz oder den Verteilungsleitungen getrennt werden. Sobald die Verbindung unterbrochen war, war der Strom in der Region weg.

Die Malware Industroyer nahm Ende Dezember 2016 ein Umspannwerk in der Ukraine über eine Stunde lang vom Netz.
Die Malware Industroyer nahm Ende Dezember 2016 ein Umspannwerk in der Ukraine über eine Stunde lang vom Netz.
(Bild: gemeinfrei (Pixabay, 127071) / CC0)

Selbst wenn Sicherheitskontrollen vorhanden gewesen wären, hätten sie vermutlich nur höhere Ebenen des OT-Netzwerks abgedeckt. Denn in den allermeisten Unternehmen findet in den Tiefen des OT-Netzwerks weder eine Validierung von Befehlen noch eine Überwachung des Netzwerkverkehrs statt. Die Sicherheitsanalyse ergab zudem, dass die modular aufgebaute Industroyer-Malware industrielle Kommunikationsprotokolle nutzte, die speziell in kritischen Infrastrukturen eingesetzt werden. Hinzu kommt: Die Malware lässt sich um zusätzliche Funktionen erweitern und damit auch in anderen industriellen Netzwerken einsetzen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45326786)