F-Secure enttarnt Angriffe auf ICS- und Scada-Software mittels Malware-Familie Havex
Industriespionage per Trojaner
Die Security-Experten von F-Secure melden, die Angriffsmuster der Havex-Malware-Familie weitgehend enttarnt zu haben. Havex tritt in gezielten Angriffen gegen industrielle Anwendungen in Erscheinung, das Ziel der Angreifer ist Industriespionage.
Bei den von F-Secure aufgedeckten Angriffsmustern schleusen die Angreifer Trojaner in Installationsprogramme von ICS- und Scada-Software (Industrial Control System; Supervisory Control and Data Acquisition) ein. Dies ist laut dem finnischen Security-Anbieter eine wirksame Methode, um sich Zugang zu industrieller Prozess-Steuerungssoftware und sogar kritischen Infrastrukturen zu verschaffen. Die Nutzung kompromittierter C&C-Server (Command and Control) sei typisch für diese Malware-Gruppe.
„Im Frühjahr 2014 haben wir festgestellt, dass Havex ein besonderes Interesse an Industrial-Control-Systemen hat“, so Sean Sullivan vom F-Secure Lab. „Die Gruppe, die dahintersteckt, verwendet einen innovativen Trojaner-Ansatz, um die Opfer zu kompromittieren.“ Die Angreifer nutzten als Zwischenziel ICS-Hersteller-Websites mit Trojaner-infizierter Software, die zum Download bereitsteht. Damit sollen wiederum Computer infiziert werden, die an ICS-Umgebungen angebunden sind.
Dies entspricht laut F-Secure der „Watering-Hole“-Methode, bei der die Opfer an die „Wasserstelle“ gelockt werden, wo der Feind lauert. Die Angreifer missbrauchen dabei vermutlich Schwachstellen in der Software, mit der die Websites betrieben werden, um legitime Software-Installer, die zum Download zur Verfügung stehen, durch infizierte zu ersetzen.
Für die Angriffe sind laut F-Secure-Angaben zwei Hauptkomponenten nötig: ein Remote-Access-Trojaner (RAT) und ein Server mit der Skriptsprache PHP. Aus Mangel an Betriebserfahrung gelinge es ihnen jedoch nicht immer, die C&C-Server in einer professionellen Art und Weise zu steuern.
Eine zusätzliche Komponente sei Schadcode, der es erlaubt, Daten von infizierten Rechnern in industriellen Steuerungssystemen abzugreifen. Dies deute darauf hin, dass die Kriminellen daran interessiert sind, die vollständige Kontrolle über die industriellen Steuerungssysteme zu erlangen.
F-Secure gelang es nun, aufgrund verdächtiger Aktivitäten infizierte Computer zu identifizieren, die mit diesen Servern in Verbindung treten. Dabei habe man Angriffsziele in verschiedenen Branchen aufspüren können.
„Unsere bisherige Analyse hat ergeben, dass Websites von drei Softwareanbietern auf diese Weise kompromittiert wurden“, so Sullivan. „Wir vermuten aber, dass es noch weitere vergleichbare Fälle gibt, die noch nicht identifiziert worden sind. Alle drei Unternehmen beschäftigen sich mit der Entwicklung von Anwendungen und Hardware für den industriellen Einsatz. Die Unternehmen stammen aus Deutschland, der Schweiz und Belgien.
„Die eigentlichen Opfer, auf die es die Malware-Akteure abgesehen haben, sind Unternehmen und Institutionen, die industrielle Anwendungen oder Maschinen entwickeln oder einsetzen“, erläutert Sullivan. „Die Mehrheit befindet sich in Europa, wobei wir zum bisherigen Zeitpunkt auch bei einem Unternehmen in Kalifornien beobachtet haben, dass Daten an einen C&C-Server gesendet werden.“
Bei den in Europa ansässigen Organisationen handle es sich um zwei wichtige Bildungseinrichtungen in Frankreich, zwei deutsche Hersteller von industriellen Anwendungen und Maschinen, einen französischen Maschinenhersteller und ein russisches Bauunternehmen.
Details zum Angriff finden sich auf dem F-Secure-Blog unter www.f-secure.com/weblog/archives/00002718.html.
Lesen Sie mehr zum Thema
