Russisches Forschungsinstitut hackte angeblich Gaskraftwerk in Saudi-Arabien

Die Sicherheitsfirma FireEye will die Angriffe auf ein saudi-arabisches Gaskraftwerk im Sommer 2017 in Russland verortet haben. Laut FireEye besteht eine "hohe Wahrscheinlichkeit", dass Mitarbeiter des Zentralen Wissenschaftlichen Forschungsinstitutes für Chemie und Maschinenbau (CNIIHM) in Moskau an den Angriffen beteiligt waren. Das CNIIHM wird von der russischen Regierung betrieben. Die FireEye-Forscher schließen dessen Beteiligung daraus, dass eine IP-Adresse des Instituts peripher an den Angriffen beteiligt war und dass ein Mitarbeiter des CNIIHM Angriffs-Tools getestet hat, die sich zum Teil mit Tools aus den Angriffen überschneiden.

Malware-Entwicklung zu Moskauer Bürozeiten

Bei den Angriffen wurde Malware verwendet, die fast ausschließlich zu Bürozeiten der Moskauer Zeitzone kompiliert wurde. Die Tests der Hacker-Tools durch mutmaßliche CNIIHM-Mitarbeiter fanden außerdem zu Zeiten statt, die sich mit solchen decken, in denen die Angreifer der als Triton bezeichneten Hackergruppe Probleme beim Ausführen ihrer Malware hatten. Die Theorie ist, dass hier am Moskauer Institut die Malware angepasst wurde, um die Hindernisse zu umgehen.

FireEye gibt zu, dass man nicht beweisen könne, dass das CNIIHM an den Angriffen auf das Gaskraftwerk beteiligt war, allerdings sei dies sehr wahrscheinlich, so die Forscher. Andere Erklärungen für die von ihnen gesammelten Indizien seien weit unwahrscheinlicher.

Das CNIIHM entwickelt seit über 120 Jahren für den russischen Staat (unter drei verschiedenen Regierungsformen) Technik für militärische Anwendungen. Heutzutage sei man gut aufgestellt, staatliche Hackerangriffe zu unterstützen, unterstellt FireEye. Der Angriff auf das Gaskraftwerk in Saudi-Arabien im Dezember war äußerst direkt und hatte es gezielt auf die Produktionsanlagen der Anlage abgesehen. Allerdings schlug er fehl – Teile der Anlage lösten eine Notabschaltung aus in deren Folge der Hackerangriff aufflog.

BSI in Alarmbereitschaft

Die direkte Vorgehensweise der mutmaßlich russischem Angreifer hatte damals auch das Bundesamt für Sicherheit in der Information (BSI) alarmiert. Das BSI untersuchte den Angriff und stellt später zusammen mit FireEye Regeln für das Netzwerkanalyse-Tool Snort bereit, um ähnliche Anlagen in Deutschland zu schützen. Auch hierzulande sind Industriesteuerungsanlagen des Typs, auf den es die Malware in Saudi-Arabien abgesehen hatte, sehr verbreitet. Weitere Angriffe mit ähnlicher Malware wie bei diesem Angriff gelangten allerdings bisher nicht ans Licht der Öffentlichkeit.

Ob die Angriffe wirklich vom CNIIHM und damit indirekt dem russischen Staat ausgingen, lässt sich momentan nicht eindeutig sagen. FireEye, eine Firma die dem US-Geheimdienst CIA nahe stehen soll, dies aber öffentlich bestreitet, ist sich sehr sicher. Man will sogar einen Institutsmitarbeiter namentlich identifiziert haben, gibt diese Informationen allerdings nicht heraus. Immerhin gibt die Firma in ihrem Bericht selber zu, dass es möglich – wenn auch unwahrscheinlich – sei, dass der Mitarbeiter auf eigene Faust gehandelt habe. Wie oft zeigt sich auch hier wieder, wie kniffelig es ist, Hackerangriffe bestimmten Personen oder Organisationen zuzuordnen. (fab)