Hackergruppe spezialisiert sich auf westliche Industrieanlagen
Symantec hat eine mutmaßlich osteuropäische Hacker-Gruppe aufgespürt, die es vor allem auf westliche Infrastruktur abgesehen haben soll. Sie hat auch in Deutschland zugeschlagen.
- Ronald Eikenberg
Eine professionell agierende Hacker-Gruppe hat offenbar auf breiter Front die westliche Energiewirtschaft im Visier. In den vergangenen Monaten hätten die Angreifer bereits Infrastruktur sabotieren können, erklärte am Montag die IT-Sicherheitsfirma Symantec, die die Attacken aufgedeckt hatte. Die entdeckte Schadsoftware sei neutralisiert worden, die Angreifer könnten aber noch im Besitz wichtiger Passwörter sein, sagte Symantec-Analyst Candid Wüest. Angriffsziele seien Betreiber von Energienetzen und Pipelines, Stromerzeuger und Anbieter von Technik für die Branche gewesen.
Die Hacker-Gruppe, die unter dem Namen "Dragonfly" (Libelle) bekannt ist, habe ihre Schadsoftware in Systeme der Unternehmen eingeschleust. Damit habe sie nicht nur Informationen sammeln, sondern zum Teil auch die Kontrolle über Technik übernehmen können. Die Gruppe arbeite auf professionellem Niveau und scheine in Osteuropa ansässig zu sein: Änderungen an der Schadsoftware seien meist zu Bürozeiten von 9 bis 18 Uhr in der Zeitzone vorgenommen worden, in der auch Moskau liegt.
Gehackte Industrieanlagen
(Bild: Symantec)
Den Hackern gelang es, ihren Softwarecode in mehrere Programme zur Steuerung von Industrieanlagen einzuschleusen. Darunter sei zum Beispiel Software gewesen, die in Windkraftanlagen und Biogas-Kraftwerken verwendet werde. Die Angreifer hätten die Energieversorgung der betroffenen Länder erheblich stören können, betonte Symantec. Die meisten erfolgreichen Attacken gab es in Spanien mit einem Anteil von 27 Prozent der Fälle, US-Unternehmen liegen dicht dahinter mit 24 Prozent. Auf Deutschland entfielen 7 Prozent der Vorfälle.
Attacken dauern an
Die Dragonfly-Gruppe habe früher Luftfahrt-Unternehmen und das Militär ausspioniert und sei etwa im Frühjahr 2013 auf die Energiebranche umgeschwenkt, berichtete Symantec. Zugang zu den Systemen verschafften sich die Angreifer über fingierte E-Mails mit Links zu Schadprogrammen und infizierten Webseiten. Diese Attacken dauerten an, betonte Wüest. Eines dieser Trojaner-Programme namens Oldrea (oder auch Havex) sei höchstwahrscheinlich von der Gruppe selbst entwickelt worden. Eine Analyse dieser Malware findet sich auch bei der Antivirenfirma F-Secure.
Industrieanlagen werden häufig direkt über das Internet erreichbar gemacht, obwohl sie Angriffen aus dem Netz nicht viel entgegenzusetzen haben. So gelang es c't vor einem Jahr, Hunderte deutsche Anlagen über das Internet aufzuspüren, die unzureichend abgesichert und grundsätzlich von jedermann fernsteuerbar waren. (mit Material der dpa) / (rei)
