Zwei Angriffsbeispiele: Stuxnet und Industroyer

Dass Industrieanlagen, die nicht direkt über ein Netzwerk an die IT gekoppelt sind, also noch über den berühmten «Air Gap» verfügen, dennoch das Opfer eines Cyber­angriffs mit dem Ziel der gezielten Sabotage werden können, haben die Betreiber der Urananreicherungs­anlage in Natanz im Iran 2010 bitter erfahren müssen. Sie wurden nämlich das Opfer des berüchtigten Stuxnet-Wurms, der über einen USB-Stick eingeschleust wurde.

Stuxnet gilt dabei als regelrechte Cyberwaffe, die ziemlich sicher von staatlicher Seite entwickelt und finanziert wurde, wobei die Urheberschaft bis heute nicht nachgewiesen werden konnte. Denn der Wurm ging einerseits ganz gezielt auf die Suche nach gewissen Komponenten einer ganz bestimmten Anlage. Andererseits legten die Autoren von Stuxnet alles daran, dass die Störung und schlussendlich Zerstörung der An­lagenkomponenten – konkret: der Gaszentrifugen – wie ein Unfall aussehen würden.

Erkennbar ist dies daran, dass der Wurm sich zunächst ab 2007 weltweit ausbreitete. Dies wurde zwar von Virenjägern bemerkt. Bei der Analyse der Malware konnte aber nicht wirklich festgestellt werden, was die Schadroutine (Payload) bezwecken soll. Stuxnet hat zwar das Potenzial, jede Anlage, die mit der attackierten speicherprogrammierbaren Steuerung von Siemens ausgerüstet ist, zu infiltrieren. Schaden wurde aber nur in den betroffenen Anlagen zugeführt, da die dort verwendeten «Low-tech»-Verfahren für die Sabo­tage­aktion ausgenutzt wurden.

Wer mehr zu Stuxnet erfahren möchte, dem kann die Dokumen­tation «Stuxnet und die Folgen» empfohlen werden, die sich wie ein «Thriller» liest. Der Hamburger Security-Fachmann und Entschlüssler des Stuxnet-Wurms, Ralph Langner, legt hier detailliert dar, wie die Malware aufgebaut ist und wie sie die Anlage in Natanz so nachhaltig sabotieren konnte.

War mit Stuxnet schon ein Angriff auf eine Industrieanlage möglich, die über einen Luftspalt verfügte, wie viel einfacher muss es für Cyberkriminelle sein, solche Infrastrukturen anzugreifen, die vernetzt sind. Bes­tes Beispiel hierfür sind die beiden Angriffe auf die Stromversorgung der Ukraine, zunächst Ende 2015 mit einem Blackout von 250'000 Haushalten im Oblast Iwano-Frankiwsk und danach Ende 2016 mit einem grösseren Stromausfall in Teilen der Hauptstadt Kiew.

Beim ersten Angriff verwendeten die Hacker die Black­Energy-Malware und KillDisk. Damit missbrauchten sie die Fernzugriffs-Software, die auf den Arbeitsrechnern der Stromversorger lief, um den Strom abzustellen. Im zweiten Fall kam seitens der Cyberkriminellen die sehr modular aufgebaute Malware Industroyer zum Einsatz. Hier wurde eine Backdoor eingerichtet, über die direkt auf die Steuerung von Umspannstationen zugegriffen werden konnte. Speziell bei Indus­troyer: Um die bösartigen Befehle zu erteilen, wurde die jeweilige «Steuerungssprache» der industriellen Komponenten benutzt. Zudem bauten die Industroyer-Urheber Methoden ein, die eine Entdeckung der Malware erschwerten sowie die Sys­teme unbrauchbar machten und eine forensische Analyse der Vor­fälle verunmöglichen sollten. Wie der IT-Security-Spezialist Eset betont, ist Industroyer deshalb so gefährlich, da er relativ einfach ab­gewandelt werden und dann andere kritische Infrasturkturen oder Industrien angreifen kann.

Ausser dass jeweils die Ukraine das Opfer der beiden Cyberattacken war und dass der Zeitpunkt jeweils vor Weihnachten gewählt wurde, haben die verwendeten Angriffs­methoden mit BlackEnergy/Killdisk und Industroyer offenbar nichts mit­einander zu tun. Beide Angriffe hat Eset in Papers und in Blog-Einträgen gut dokumentiert.