Irongate: FireEye warnt vor neuer Malware für Industriekontrollsysteme

Sie ist auf Produkte von Siemens ausgerichtet. Irongate nutzt unter anderem Techniken, mit denen Stuxnet das iranische Atomprogramm sabotiert hat. Derzeit funktioniert die Schadsoftware allerdings nicht.

FireEye hat eine neue Schadsoftware gefunden, die auf Industriekontrollsysteme (Supervisory Control and Data Acquisition, SCADA) von Siemens ausgerichtet ist. Ihre Aufgabe ist es, echte Daten über Industrieprozesse zu verbergen – eine Technik, die auch die angeblich von den USA und Israel verwendete Malware Stuxnet benutzt hat, um Irans Nuklearprogramm zu sabotieren.

Malware (Bild: Shutterstock/Blue Island)Erstmals fiel den Forschern von FireEye die Irongate genannte Schädlingsfamilie in der zweiten Hälfte 2015 auf, und zwar in der Datenbank der Google-Tochter VirusTotal, wie Computerworld berichtet. Mehrere Personen hatten bereits 2014 zwei verschiedene Varianten von Irongate hochgeladen. Zu dem Zeitpunkt stufte keine Antivirensoftware die Malware als schädlich ein.

Allerdings bestätigte Siemens ProductCERT, dass Irongate nicht gegen funktionierende Kontrollsysteme von Siemens eingesetzt werden kann. Die Software nutze keinerlei Schwachstellen in Siemens-Produkten aus. FireEye selbst weist in einem Blogeintrag darauf hin, das Irongate bisher keinen aktiven Angriffen zugeordnet werden konnte. „Wir räumen ein, das Irongate ein Test, ein Proof of Concept oder ein Forschungsprojekt für Angriffe auf Industriekontrollsysteme sein könnte.“

Die Schadsoftware verfügt allerdings über Funktionen, die Industriekontrollsystemen schaden können. Irongate kann beispielsweise eine bestimmte Dynamic Link Library (DLL) austauschen, um dann Daten, die das Kontrollsystem liefert, zu manipulieren. Das würde es einem Angreifer erlauben, von einem SCADA-System überwachte Prozesse zu verändern, ohne dass dies den Betreibern der Anlage auffällt.

Zudem wird Irongate nicht ausgeführt, wenn ein SCADA-System in einer virtuellen Maschine oder einer Sandbox-Umgebung läuft. Diese Technik erschwert die Analyse und Erkennung der Malware, was FireEye auch als Indiz dafür wertet, dass Irongate in bösartiger Absicht entwickelt wurde.

ANZEIGE

Das Samsung Galaxy S7 und Galaxy S7 Edge im Business-Einsatz

Die Samsung-Smartphones Galaxy S7 und S7 Edge zählen unter Privatanwendern zu den beliebtesten Android-Smartphones. Dank Samsung KNOX und dem kürzlich aufgelegten Enterprise Device Program sind sie auch für den Unternehmenseinsatz gut geeignet.

Auch wenn Irongate derzeit keine konkrete Gefahr darstellt, sieht FireEye die Malware als einen Beleg dafür an, dass Angreifer von Stuxnet gelernt haben. „Die Angreifer haben Stuxnet-Techniken erlernt und implementiert, aber die Verteidiger haben ihre Fähigkeiten, Malware für Industriekontrollsysteme zu erkennen, nicht wirklich verbessert“, heißt es in dem Blogeintrag. „Wir benötigen deutliche Verbesserungen bei der Erkennung von Angriffen auf die Integrität von Kontrollsystemen.“

FireEye schlägt unter anderem vor, Integritätschecks und Code-Signierung für von Anbietern und Nutzern generierten Code einzuführen. Ohne eine kryptografische Verifizierung sei es jederzeit möglich, Dateien auszutauschen und Man-in-the-Middle-Angriffe gegen SCADA-Systeme auszuführen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

Noch keine Kommentare zu Irongate: FireEye warnt vor neuer Malware für Industriekontrollsysteme

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *