Industroyer: Fortgeschrittene Malware soll Energieversorgung der Ukraine gekappt haben
Sicherheitsforscher haben nach eigenen Angaben eine Art zweites Stuxnet entdeckt: Einen Trojaner, der auf die Steuerung von Umspannwerken zugeschnitten ist. Er soll für Angriffe auf den ukrainischen Stromversorger Ukrenergo verantwortlich sein.
- Fabian A. Scherschel
Ein hochentwickelter Trojaner scheint für die Angriffe auf die Stromversorgung der Ukraine kurz vor Weihnachten 2016 verantwortlich zu sein. Die Sicherheitsforscher des AV-Herstellers Eset, die den Schädling entdeckt haben, beschreiben ihn als zweites Stuxnet – Schadcode, der für gezielte Angriffe auf die Infrastruktur eines Landes entwickelt wurde. Sie tauften den Trojaner, der es auf die industrielle Steuerungssoftware (SCADA) von Umspannwerken abgesehen hat, auf den Namen Industroyer.
Einsatz in der Ukraine "sehr wahrscheinlich"
Auch wenn Eset sich mit direkten Schuldzuweisungen zurückhält, lassen die Sicherheitsforscher durchblicken, dass die Malware, die sie untersucht haben, mit den Angriffen in der Ukraine direkt zusammenhängt. Sie halten Industroyer für "eine sehr wahrscheinliche Erklärung", da die Malware die richtigen Steuerungsprotokolle beherrscht und laut der Untersuchung der Forscher am 17. Dezember 2016 aktiviert wurde, dem Tag des Stromausfalls. Allerdings wollte die Firma nicht bestätigen, dass Industroyer tatsächlich im Netz des betroffenen Stromanbieters Ukrenergo gefunden wurde.
(Bild: Eset )
Der Schadcode beherrscht mehrere Kommunikationsprotokolle, die von SCADA-Anlagen verwendet werden (IEC 60870-5-101, IEC 61850 , IEC 60870-5-104 und OPC DA). Sie sind, wie bei Trojanern dieses Kalibers üblich, in einzelne Module ausgelagert. Sicherheitsforscher gehen davon aus, dass die Angreifer bei dem Angriff auf Ukrenergo das Netzwerk der Firma infiltrierten und wochen- oder monatelang Daten über die Anlagen der Firma sammelten. Wahrscheinlich könnten sie Industroyer deswegen genau auf die SCADA-Anlagen in den Umspannwerken zuschneiden.
Wieso hat sich Industroyer nicht selbst gelöscht?
Der Schadcode enthält laut Eset weit entwickelte Löschfunktionen, die sogar das Betriebssystem von Windows-Rechnern unbrauchbar machen können. Offensichtlich wurden diese aber nicht genutzt, da Eset trotzdem Samples der Malware untersuchen konnte. Ob die Funktionen nicht griffen oder ob die Angreifer ihre Spuren absichtlich nicht verwischt haben – etwa, um mit ihrem Können zu prahlen und so Propaganda zu erzeugen – ist nicht bekannt.
Ebenfalls unbekannt ist, ob eine Variante der Industroyer-Familie auch für die Stromausfälle in der Ukraine an Weihnachten 2015 verantwortlich war. Auch damals soll ein Hackerangriff verantwortlich gewesen sein. Wenn Esets Analyse zutrifft, wäre Industroyer nach Stuxnet die zweite speziell für Industrieanlagen programmierte Schadsoftware, die auf eine aktive Anlage losgelassen wurde und dessen Einsatz ans Licht der Öffentlichkeit gelangt ist. (fab)
