Interview mit Robert Lipovsky, Senior Malware Researcher bei ESET

Es gab einige Spekulationen und Fehldeutungen rund um die kürzlich in mehreren ukrainischen Energieunternehmen entdeckte Malware. ESET-Researcher haben eine detaillierte Analyse des Schädlings veröffentlicht, der vermutlich mit dem massiven Stromausfall in Zusammenhang steht, der jüngst Tausende ukrainische Bürger im Dunkeln tappen ließ.

„Bei der Analyse der Malware haben wir einiges über die Operation gegen den ukrainischen Energiesektor erfahren, aber es ist dennoch nur ein kleiner Teil des Puzzles. Viele Fragen sind nach wie vor offen“, erklärte Robert Lipovsky, Senior Malware Researcher bei ESET.

In vielen Medien wurde über den Vorfall berichtet, als sei es eine Tatsache, dass die Malware allein für den Stromausfall verantwortlich war. Stimmst du dem zu?

Leider sind die Dinge nicht eindeutig genug, um eine so vereinfachte Schlussfolgerung zu ziehen. Aber es stimmt, dass der in den verschiedenen Stromunternehmen gefundene BlackEnergy-Trojaner, zusammen mit einer SSH-Backdoor und der zerstörerischen KillDisk-Komponente, überaus gefährlich und zumindest theoretisch in der Lage ist, Angreifern einen Fernzugriff auf die Netzwerke von Unternehmen zu ermöglichen, durch das Löschen von Daten kritische Systeme zum Absturz zu bringen und so die Wiederherstellung zu erschweren.

Ein weiterer wichtiger Aspekt dieses Vorfalls ist allerdings, dass er uns zeigt, wie komplexe Angriffe zukünftig aussehen könnten. Strom ist die Achillesferse einer jeden Organisation – von Produktionsunternehmen bis hin zu staatlichen Einrichtungen. Ein schwerwiegender Stromausfall ist für jeden Feind ein Traum.

Und wir haben vielleicht gesehen, wie jemand versucht hat, seinen Traum zu verwirklichen?!

Nun ja, unser Fokus liegt vorrangig auf der Internet-Sicherheit, während der Angreifer die Kontrolle über das industrielle System erlangen muss, um einen Stromausfall herbeiführen zu können.

Einerseits sind das zwei unterschiedliche Welten. Andererseits ist es üblich, dass auf den PCs mit Betriebssystemen wie Windows oder Linux eine bestimmte Software läuft, mit der die Unternehmens-Hardware programmiert und kontrolliert wird. Die Rechner können dann mithilfe ähnlicher – oder sogar der gleichen – Malware angegriffen und kompromittiert werden, wie sie bei Attacken gegen normale Internet-Nutzer zum Einsatz kommt. Und natürlich können auch die gleichen Angriffsvektoren genutzt werden – zum Beispiel menschliches Fehlverhalten und Social Engineering.

Das klingt, als sei es gefährlich, industrielle Systeme mit dem Internet zu verbinden. Weshalb tun Unternehmen dies dennoch?

Ja, diese Kopplung birgt in der Tat einige ernste Risiken. Auf der Hand liegende Gründe, es dennoch zu tun, sind praktische Überlegungen sowie Kosteneinsparungen.

Ohne allzu sehr in die Tiefe zu gehen, setzt diese Verbindung die industriellen Kontrollsysteme natürlich den gleichen Bedrohungen aus, wie normale Computer – allerdings mit eingeschränkteren Verteidigungsmöglichkeiten. Ein Beispiel hierfür sind Patching-Prozesse: Die Behebung von Software-Fehlern ist in Bezug auf industrielle Systeme viel problematischer. Denn in der Regel handelt es sich um maßgeschneiderte Software und häufig laufen die Systeme rund um die Uhr.

Um nun auf den Vorfall in der Ukraine zurückzukommen: Bei den Funden – dem BlackEnergy Trojaner – innerhalb der IT-Umgebung der betroffenen Energieunternehmen handelt es sich um eine Backdoor. Darüber hinaus haben wir entdeckt, dass sie um eine zusätzliche Komponente erweitert wurde, die Lücken im SSH-Server ausnutzt. Dies ist die Antwort auf eine der am häufigsten gestellten Fragen in Zusammenhang mit dem Vorfall: Was genau sind die Motive hinter der Einschleusung der BlackEnergy-Backdoor in die Netzwerke von Energieunternehmen?

Wir alle wissen, dass die Zuschreibung von Cyberangriffen sehr schwierig ist. Wie siehst du das?

Ja, es ist sehr kompliziert.

Im September 2014 haben wir darüber berichtet, dass BlackEnergy für Angriffe gegen eine Vielzahl an hochwertigen Zielen in der Ukraine und anderen Ländern eingesetzt wurde. Nur wenige Wochen später haben andere Sicherheitsunternehmen angefangen, die Angriffe und die vermeintlich verantwortliche Gruppe mit „Sandworm“ zu beschreiben.

Die BlackEnergy-Malware hat zwar eventuell russische Ursprünge und wird in der Regel mit einer (vermeintlich) russischen Malware-Gruppe in Verbindung gebracht, allerdings gibt es hierfür keine eindeutigen Beweise. Seit sie erstmals aufgetaucht ist, hat sich die Malware-Familie immer wieder stark verändert. Der Quellcode der allerersten Version wurde sogar im Internet veröffentlicht und es existieren einige Varianten in freier Wildbahn. Man kann also nicht eindeutig bestimmen, ob die BlackEnergy-Malware zurzeit von einer einzigen Gruppe oder gleich von mehreren genutzt wird.

Zurück zu den Motiven…

Eine funktionsfähige Backdoor in einem IT-System, das an das Kontrollsystem eines Energieunternehmens gekoppelt ist… Ich glaube nicht, dass es nötig ist, zu beschreiben, was das bedeutet.

Vielleicht tragen ein paar Beispiele dazu bei, dass sich unsere Leser die potenziellen Konsequenzen besser vorstellen können…

In der Vergangenheit gab es eine Vielzahl an schwerwiegenden Cyberangriffen gegen Industriesysteme. Dies wurde allerdings nicht in allen Fällen beweisen, da die Opfer dazu neigen, keine Details offenzulegen. Bei zwei Fällen können wir uns aber ziemlich sicher sein: Die Zerstörung von Urananreicherungs-Zentrifugen in einer iranischen Kernanlage und die Beschädigung eines Hochofens in einem deutschen Stahlwerk. Darüber hinaus geht man davon aus, dass auch für die Öffnung aller Türen im Hochsicherheitstrakt eines US-amerikanischen Gefängnisses, wodurch Gangmitglieder einen Mithäftling angreifen konnten, eine Malware verantwortlich war.

Was können Organisationen und Unternehmen tun, um sich vor digitalen Angriffen auf ihre betriebsrelevanten Technologien zu schützen?

Zunächst sollten die Industriesysteme über ein Air Gap von den IT-Systemen getrennt sein. Die traurige Realität ist, dass man mit dem Internet verbundene Industriekontrollsysteme manchmal über eine einfache Google-Suche finden kann. Zudem sollte man die Verteidigungsstrategien befolgen, die von Institutionen wie dem US CERT (Computer Emergency Response Team) oder dem SANS-Institut empfohlen werden.

Auf den „normalen“ Rechnern in der Industrieanlage – insbesondere, wenn sie, aus welchen Gründen auch immer, nicht durch ein Air Gap getrennt sind – sollten die üblichen Cybersicherheitsregeln angewendet werden. Hierzu gehören der Einsatz einer aktuellen und mehrschichtigen Sicherheitssoftware, gutes Patch-Management, regelmäßige Back-Ups sowie Mitarbeiterschulungen zur Stärkung des Sicherheitsbewusstseins usw.

Manchmal scheint es mir, als würden Unternehmen die Cyber-Risiken unterschätzen.

Da hast du leider Recht. Allerdings gibt es Grund zur Hoffnung. Denn für Unternehmen bestehen immer mehr Anreize, diese Sicherheitsrisiken zu bedenken und zu minimieren: Die Moody’s Ratingagentur hat eine Warnung herausgegeben, dass sie bei ihren Ratings zukünftig auch Cyberrisiken berücksichtigen wird. Es bleibt also nur zu hoffen, dass der bedauerliche Vorfall in der Ukraine für andere Organisationen auf der ganzen Welt eine Warnung ist, ihre IT-Sicherheit zu stärken.