Hackergruppe APT33 hat Hersteller industrieller Kontrollsysteme im Visier

Eine bereits seit mehreren Jahren aktive iranische Hackergruppe, die unter anderem als APT33, Holmium (Microsoft), Elfin (Symantec) und Refined Kitten (Crowdstrike) bekannt ist, greift seit etwa zwei Monaten gezielt Unternehmen an, die sich der (Komponenten-)Fertigung, Zulieferung und Betreuung von industriellen Kontrollsystemen (Industrial Control Systems, ICS) widmen. Das will Microsoft im Rahmen aktueller Analysen herausgefunden haben.

Password-Spraying-Angriffe auf ICS-Hersteller

Microsoft beobachtet die Aktivitäten von APT33 bereits seit über vier Jahren. Im März 2019 berichtete Microsoft-Manager John Lambert gegenüber dem Wall Street Journal, dass die Gruppe innerhalb von zwei Jahren mehr als 200 Unternehmen weltweit angegriffen habe. Bei den Angriffen seien vertrauliche Informationen gestohlen oder von den Systemen gelöscht worden.

Aktuelle Äußerungen von Ned Moran, Sicherheitsforscher von Microsoft, gegenüber Wired legen nahe, dass APT33 seine Aktivitäten im Laufe des Jahres 2019 offenbar massiv ausgeweitet hat: Er berichtet von "Password-Spraying"-Angriffen auf "Zehntausende" Organisationen. Diese habe die Gruppe allerdings innerhalb der letzten zwei Monate wieder stark eingegrenzt – nämlich auf rund 2000 Unternehmen pro Monat. Zugleich habe sich die Zahl der innerhalb dieser Unternehmen angegriffenen Accounts fast verzehnfacht.

Nahezu die Hälfte der "Top 25" der am stärksten angegriffenen Unternehmen seien Hersteller und Zulieferer von ICS-Komponenten sowie ICS-Instandhalter/Betreuer ("Maintainer"). Insgesamt habe APT33 seit Mitte Oktober Dutzende Unternehmen mit ICS-Bezug angegriffen.

Password Spraying ist eine stark eingegrenzte Brute-Force-Variante, die bekannte, in einem Unternehmen vergebene Nutzernamen in einer Schleife mit je nur einem (beliebten oder im Unternehmenskontext wahrscheinlichen) Passwort durchprobiert. Im nächsten Schleifendurchgang folgt dann das nächste Passwort und so weiter. Diese Taktik reduziert das Risiko der Sperrung von Accounts nach zu vielen Brute-Force-Versuchen (unmittelbar) hintereinander.

Angriffe möglicherweise staatlich motiviert

Gegenüber Wired lehnte Ned Moran es ab, nähere Angaben zu den angegriffenen Herstellern oder ICS-Modellen zu machen.

Im Hinblick auf mögliche Motive der Hacker ist eine APT33-Analyse der Sicherheitssoftware-Firma FireEye von 2017 interessant: Die Forscher kamen darin zu dem Schluss, dass APT33 von der iranischen Regierung unterstützt werde. Moran glaubt seinerseits, dass nicht etwa die Hersteller und Maintainer von ICS, sondern deren Kunden (beziehungsweise die Steuerungsanlagen selbst) das eigentliche Ziel der Hackergruppe sind. Seiner Einschätzung nach will die Gruppe herausfinden, wie die Kontrollsysteme funktionieren und wer die Käufer sind, um letztlich in der Lage zu sein, kritische Infrastrukturen anzugreifen. (ovw)