Dragonfly: Symantec warnt vor verstärkten Hackerangriffen auf Energiekonzerne

Dragonfly: Symantec warnt vor verstärkten Hackerangriffen auf Energiekonzerne

Olivia von Westernhagen

(Bild: Symantec)

Eine bereits seit 2011 aktive Hacker- und Cyberspionagegruppe hat es auf industrielle Steuerungssysteme von Engergiekonzernen abgesehen. Laut Symantec brach sie bislang in 27 Unternehmensnetzwerke ein. Atomkraftwerke sind demnach aber nicht betroffen.

Energiekonzerne in den USA, Westeuropa und der Türkei befinden sich derzeit im Visier einer seit mehreren Jahren aktiven Hackergruppe namens Dragonfly. Das geht aus einem Blogeintrag der Sicherheitsfirma Symantec hervor. Gegenüber der dpa erklärte der Hersteller, dass es den Hackern gelungen sei, in die internen Netzwerke von 20 Unternehmen in den USA, sechs in der Türkei sowie eines Branchenzulieferers in der Schweiz einzudringen. Auch Kraftwerke in Deutschland, den Niederlanden und Belgien befänden sich im Visier der Angreifer. Allerdings seien dort keine erfolgreichen Angriffe festgestellt worden. Den Hackern gehe es darum, Informationen für möglicherweise geplante Sabotageakte zu sammeln. Angriffe auf Atomkraftwerke seien bislang nicht festgestellt worden.

Bereits Mitte 2014 dokumentierte Symantec die Aktivitäten der demnach bereits seit mindestens 2011 aktiven, auch als Energetic Bear bekannten Dragonfly-Gruppe. Diese beinhalteten auch damals Spionage-Aktivitäten gegen Unternehmen aus der Energiebranche sowie die Kompromittierung von industriellen Steuerungssystemen (ICS) mit Malware. Seit Dezember 2015 laufe nun eine neue, von Symantec als Dragonfly 2.0 bezeichnete Kampagne, deren Aktivitäten sich 2017 noch einmal verstärkt hätten. Eine aktuelle Gegenüberstellung der 2013/14 und der aktuell genutzten Malware zeigt hohe Übereinstimmungen. Auf das Herkunftsland von Dragonfly will sich Symantec nicht festlegen. Demnach enthalte der Malware-Code zwar russische und französische Satzfragmente; das könne aber auch eine falsche Fährte sein.

Fernzugriff und Spionage mit Malware

Als Angriffsvektoren von Dragonfly 2.0 nennt Symantec Spear-Phishing-Kampagnen und mit Malware präparierte Websites, die das Abgreifen von Daten zur Anmeldung in Firmennetzwerken ermögliche. Diese Daten würden dann für Folgeangriffe verwendet – etwa zur Installation eines Backdoor-Trojaners, der Angreifern Remote-Zugriff auf das kompromittierte System ermögliche.

Als Beweis für die Absichten von Dragonfly führte Symantec Spionage-Malware an, die Screenshots von der Steuersoftware der angegriffenen Industrieanlagen angefertigt habe, um sie zu studieren. Symantec-Forscher Candid Wüest sagte gegenüber der dpa, dass die Angreifer unter anderem dadurch dem Ziel näher gekommen seien, die Kontrolle über die Anlagen zu übernehmen.

Wüest zufolge habe das Symantec-Team außerdem einen gezielten Diebstahl von Dokumenten beobachtet – darunter auch PDF- und Word-Dateien mit Aufbauplänen einzelner ICS-Komponenten. Selbst wenn erbeutete Passwörter nun geändert (und der Remotezugriff unterbunden) würde, sei die Vorbereitung eines Angriffs auf die Anlagen mit diesem Wissen besser möglich. Ob und wie die von Dragonfly eingesetzte Malware in der Lage ist, eine physische und logische Trennung (Air Gap) zwischen herkömmlicher IT-Infrastruktur und Steuerungssystemen zu überwinden – oder ob diese bei den erfolgreich angegriffenen Unternehmen womöglich fehlte –, führte Symantec nicht aus. (ovw)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.