Hacker nutzen Schweizer Software als Huckepack

Eine osteuropäische Hackerbande hat im vergangenen Jahr offensichtlich europäische Energieversorger ins Visier genommen. Unter der Bezeichnung «Dragonfly» führte die Gruppe gezielt Spionage-Attacken gegen Stromerzeuger, Pipeline-Betreiber sowie spezielle Ausrüster für den Energie-Bereich aus Deutschland, Spanien, USA, Frankreich, Italien, Türkei, Polen, Griechenland, Serbien und Rumänien. Dies deckt ein Sicherheitsbericht des IT-Security-Spezialisten Symantec auf.

In der Schweiz wurden keine Energieversorger direkt und aktiv angegriffen. Allerdings habe man auch hierzulande durchaus Infektionen feststellen können, wie Candid Wüest, Senior Software Engineer im Security-Response-Team von Symantec, auf Anfrage von Computerworld meint. «Wir gehen davon aus, dass sich diese über die präparierten Webseiten infiziert hatten, ohne dass es der Angreifer wollte - quasi als Kollateralschaden.» Dagegen nutzten die Hacker zumindest in einem Fall das gute Renommée von Schweizer Zulieferern, um ihre «Endziele» besser anzugreifen. «Eine der drei Firmen, deren Software-Paket infiziert wurde, ist in der Schweiz ansässig», berichtet Wüest. «Es wurde also die Schweizer Qualität ausgenutzt, um den Schadcode zu verteilen», fährt der Virenjäger fort. Konkret sei über das Content Management Tool der Webseite das Treiberpaket der Industriesteuerung ausgetauscht und mit einer infiszierten Version ersetzt worden. Diese sei dann mehrere Wochen für den Download erhältlich gewesen. Nächste Seite: Hacker hatten geregelte Arbeitszeiten Laut dem Symantec-Bericht scheint die Gruppe ausgesprochen professionell organisiert zu sein und bereits seit etwa 2011 zu agieren. Bevor sich die Hacker auf den Energie-Sektor der westlichen Hemisphäre konzentrierten, arbeiteten sie vor allem an der Spionage von Verteidigungsorganisationen und Luftfahrt-Unternehmen in den USA und Kanada. Erst 2013 konzentrierte sich die Gruppe auf den europäischen und amerikanischen Energie-Bereich. Die Hacker nutzen vor allem Schadcode, der den Fern-Zugriff auf Systeme zulässt (sogenannte Remote Access Tools/RATs). Ist der Schadcode einmal auf dem Computer, ermöglicht er das Auslesen von System-Informationen, erstellt Listen von gespeicherten Dokumenten und sammelt u. a. Adressen aus Outlook oder Transferdaten von VPN-Verbindungen. Diese ausgespähten Daten werden dann verschlüsselt an den Command & Control Server gesendet, der von den Hackern kontrolliert wird. Es ist davon auszugehen, dass die Schadcodes entweder von der Gruppe selbst oder speziell für die Hackergruppe erstellt wurde. Kurioserweise war die Hackergruppe wie «normale Werktätige» montags bis freitags zwischen 9:00 morgens und 18:00 Uhr abends aktiv.

Das ausführliche Whitepaper von Symantec zu Dragonfly finden Sie hier. Details zu gezielten Angriffen auf Industrie und Wirtschaft finden sich auch im aktuellen Symantec-Sicherheitsbericht.