Dragonfly: Symantec warnt vor neuen Cyberangriffen

Symantec meldet komplexe Cyberattacken einer Gruppe namens Dragonfly. Sie zielen auf den Energiesektor und könnten die Sabotage von Stromnetzen vorbereiten. Die unbekannten Angreifer sind mindestens seit 2011 aktiv, haben ihre Aktivitäten aber in diesem Jahr deutlich ausgeweitet. Sie nehmen insbesondere Energieversorger und ihre Zulieferfirmen in den USA, der Türkei und der Schweiz ins Visier – aber Hinweise auf ihre Aktivitäten finden sich auch in Organisationen außerhalb dieser Länder.

Nachdem Symantec und andere Sicherheitsforscher 2014 auf Dragonfly aufmerksam machten, legten die Angreifer offenbar eine Pause ein, bevor sie Ende 2015 ihre Aktivitäten mit einer „Dragonfly 2.0“ getauften Kampagne fortsetzten und dabei dieselben Taktiken und Tools wie zuvor einsetzten. Zur Verwendung kommen dabei etwa Phishing-Attacken mit per E-Mail übersandten Word-Dokumenten. Die Kompromittierung erfolgt aber auch über die bekannte Wasserloch-Methode (Watering-Hole-Angriff), bei der die Angreifer Websites infizieren, die häufig von Mitarbeitern im Energiesektor besucht werden. Weiterhin sorgen vorgetäuschte Updates für Adobe Flash für die Installation von Hintertüren.

Die Dragonfly-Gruppe scheint zunächst möglichst viel über Organisation und Arbeitsweise der Energieversorger erkunden zu wollen, um dann vom Firmennetzwerk in das betriebliche Netzwerk zu wechseln, über das ihnen potentiell die volle Kontrolle der Stromnetze offensteht. Als mögliche Folgen einer erfolgreichen Sabotage von Energieanlagen nennen die Sicherheitsexperten Symantecs großflächige Stromausfälle, den völligen Zusammenbruch von Stromnetzen oder den Ausfall von wesentlichen öffentlichen Versorgungseinrichtungen.

Sie erinnern daran, dass Sabotageakten typischerweise eine Phase der Informationsgewinnung vorausgeht, in der Angreifer Informationen über Ziel-Netzwerke sammeln und Anmeldedaten erlangen, die in späteren Kampagnen zum Einsatz kommen sollen. Bekannte Beispiele dafür seien Stuxnet und Shamoon, bei denen zuvor gestohlene Anmeldedaten genutzt wurden, um später zerstörerische Malware einzuschleusen. „Am besorgniserregendsten ist, dass wir jetzt sehen, wie sie in die betrieblichen Netzwerke von Energiefirmen eindringen“, sagte Symantec-Forscher Eric Chien gegenüber Ars Technica.

Die Dragonfly-Gruppe ist eine erfahrene Angreifergruppe, die sich zugleich gut zu tarnen versteht. Die Hinweise auf ihre Herkunft sind spärlich. Während einige Codestrings der Malware in russischer Sprache sind, finden sich andere in Französisch – die Verwendung der einen wie der anderen Sprache könnte also schlicht der Ablenkung dienen. Zeitmarken der Dateien geben immerhin einen geografischen Hinweis – die Autoren der Malware gingen demnach ihrer Tätigkeit jeweils von Montag bis Freitag zwischen 9 und 18 Uhr osteuropäischer Zeit nach.

Einen Blackout in der ukrainischen Hauptstadt Kiew soll bereits die Schadsoftware Industroyer verursacht haben, die auch als Crash Override bezeichnet wird. Diese Malware schreibt die Washington Post russischen Hackern zu, die mit der Putin-Regierung verbunden sind, aber Beweise dafür gibt es nicht. Industroyer verfügt über vier Komponenten, die der direkten Kontrolle von Schaltungen und Stromkreisunterbrechern in elektrischen Umspannwerken dienen. Jede von ihnen ist auf bestimmte Kommunikationsprotokolle ausgerichtet, die in industriellen Steuerungssystemen weltweit benutzt werden. Diese Schadsoftware eignet sich daher für Angriffe auf Stromnetze rund um die Welt.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago