Irongate: FireEye warnt vor neuer Malware für Industriekontrollsysteme

FireEye hat eine neue Schadsoftware gefunden, die auf Industriekontrollsysteme (Supervisory Control and Data Acquisition, SCADA) von Siemens ausgerichtet ist. Ihre Aufgabe ist es, echte Daten über Industrieprozesse zu verbergen – eine Technik, die auch die angeblich von den USA und Israel verwendete Malware Stuxnet benutzt hat, um Irans Nuklearprogramm zu sabotieren.

Erstmals fiel den Forschern von FireEye die Irongate genannte Schädlingsfamilie in der zweiten Hälfte 2015 auf, und zwar in der Datenbank der Google-Tochter VirusTotal, wie Computerworld berichtet. Mehrere Personen hatten bereits 2014 zwei verschiedene Varianten von Irongate hochgeladen. Zu dem Zeitpunkt stufte keine Antivirensoftware die Malware als schädlich ein.

Allerdings bestätigte Siemens ProductCERT, dass Irongate nicht gegen funktionierende Kontrollsysteme von Siemens eingesetzt werden kann. Die Software nutze keinerlei Schwachstellen in Siemens-Produkten aus. FireEye selbst weist in einem Blogeintrag darauf hin, das Irongate bisher keinen aktiven Angriffen zugeordnet werden konnte. „Wir räumen ein, das Irongate ein Test, ein Proof of Concept oder ein Forschungsprojekt für Angriffe auf Industriekontrollsysteme sein könnte.“

Die Schadsoftware verfügt allerdings über Funktionen, die Industriekontrollsystemen schaden können. Irongate kann beispielsweise eine bestimmte Dynamic Link Library (DLL) austauschen, um dann Daten, die das Kontrollsystem liefert, zu manipulieren. Das würde es einem Angreifer erlauben, von einem SCADA-System überwachte Prozesse zu verändern, ohne dass dies den Betreibern der Anlage auffällt.

Zudem wird Irongate nicht ausgeführt, wenn ein SCADA-System in einer virtuellen Maschine oder einer Sandbox-Umgebung läuft. Diese Technik erschwert die Analyse und Erkennung der Malware, was FireEye auch als Indiz dafür wertet, dass Irongate in bösartiger Absicht entwickelt wurde.

Auch wenn Irongate derzeit keine konkrete Gefahr darstellt, sieht FireEye die Malware als einen Beleg dafür an, dass Angreifer von Stuxnet gelernt haben. „Die Angreifer haben Stuxnet-Techniken erlernt und implementiert, aber die Verteidiger haben ihre Fähigkeiten, Malware für Industriekontrollsysteme zu erkennen, nicht wirklich verbessert“, heißt es in dem Blogeintrag. „Wir benötigen deutliche Verbesserungen bei der Erkennung von Angriffen auf die Integrität von Kontrollsystemen.“

FireEye schlägt unter anderem vor, Integritätschecks und Code-Signierung für von Anbietern und Nutzern generierten Code einzuführen. Ohne eine kryptografische Verifizierung sei es jederzeit möglich, Dateien auszutauschen und Man-in-the-Middle-Angriffe gegen SCADA-Systeme auszuführen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.