Dragonfly: Symantec warnt vor neuen Cyberangriffen

Symantec meldet komplexe Cyberattacken einer Gruppe namens Dragonfly. Sie zielen auf den Energiesektor und könnten die Sabotage von Stromnetzen vorbereiten. Die unbekannten Angreifer sind mindestens seit 2011 aktiv, haben ihre Aktivitäten aber in diesem Jahr deutlich ausgeweitet. Sie nehmen insbesondere Energieversorger und ihre Zulieferfirmen in den USA, der Türkei und der Schweiz ins Visier – aber Hinweise auf ihre Aktivitäten finden sich auch in Organisationen außerhalb dieser Länder.

Nachdem Symantec und andere Sicherheitsforscher 2014 auf Dragonfly aufmerksam machten, legten die Angreifer offenbar eine Pause ein, bevor sie Ende 2015 ihre Aktivitäten mit einer „Dragonfly 2.0“ getauften Kampagne fortsetzten und dabei dieselben Taktiken und Tools wie zuvor einsetzten. Zur Verwendung kommen dabei etwa Phishing-Attacken mit per E-Mail übersandten Word-Dokumenten. Die Kompromittierung erfolgt aber auch über die bekannte Wasserloch-Methode (Watering-Hole-Angriff), bei der die Angreifer Websites infizieren, die häufig von Mitarbeitern im Energiesektor besucht werden. Weiterhin sorgen vorgetäuschte Updates für Adobe Flash für die Installation von Hintertüren.

Die Dragonfly-Gruppe scheint zunächst möglichst viel über Organisation und Arbeitsweise der Energieversorger erkunden zu wollen, um dann vom Firmennetzwerk in das betriebliche Netzwerk zu wechseln, über das ihnen potentiell die volle Kontrolle der Stromnetze offensteht. Als mögliche Folgen einer erfolgreichen Sabotage von Energieanlagen nennen die Sicherheitsexperten Symantecs großflächige Stromausfälle, den völligen Zusammenbruch von Stromnetzen oder den Ausfall von wesentlichen öffentlichen Versorgungseinrichtungen.

Sie erinnern daran, dass Sabotageakten typischerweise eine Phase der Informationsgewinnung vorausgeht, in der Angreifer Informationen über Ziel-Netzwerke sammeln und Anmeldedaten erlangen, die in späteren Kampagnen zum Einsatz kommen sollen. Bekannte Beispiele dafür seien Stuxnet und Shamoon, bei denen zuvor gestohlene Anmeldedaten genutzt wurden, um später zerstörerische Malware einzuschleusen. „Am besorgniserregendsten ist, dass wir jetzt sehen, wie sie in die betrieblichen Netzwerke von Energiefirmen eindringen“, sagte Symantec-Forscher Eric Chien gegenüber Ars Technica.

Die Dragonfly-Gruppe ist eine erfahrene Angreifergruppe, die sich zugleich gut zu tarnen versteht. Die Hinweise auf ihre Herkunft sind spärlich. Während einige Codestrings der Malware in russischer Sprache sind, finden sich andere in Französisch – die Verwendung der einen wie der anderen Sprache könnte also schlicht der Ablenkung dienen. Zeitmarken der Dateien geben immerhin einen geografischen Hinweis – die Autoren der Malware gingen demnach ihrer Tätigkeit jeweils von Montag bis Freitag zwischen 9 und 18 Uhr osteuropäischer Zeit nach.

Einen Blackout in der ukrainischen Hauptstadt Kiew soll bereits die Schadsoftware Industroyer verursacht haben, die auch als Crash Override bezeichnet wird. Diese Malware schreibt die Washington Post russischen Hackern zu, die mit der Putin-Regierung verbunden sind, aber Beweise dafür gibt es nicht. Industroyer verfügt über vier Komponenten, die der direkten Kontrolle von Schaltungen und Stromkreisunterbrechern in elektrischen Umspannwerken dienen. Jede von ihnen ist auf bestimmte Kommunikationsprotokolle ausgerichtet, die in industriellen Steuerungssystemen weltweit benutzt werden. Diese Schadsoftware eignet sich daher für Angriffe auf Stromnetze rund um die Welt.