EUROPA – USA – Industrielle Infektion: Hacker legen Würgegriff auf Energie-Unternehmen mit Stuxnet-artige Viren

Veröffentlicht: Juli 1, 2014 in EUROPA, Russland, USA
Schlagwörter:, , , , , , , , ,

01.07.14 – EUROPA – USA – Industrielle Infektion: Hacker legen Würgegriff auf Energie-Unternehmen mit Stuxnet-artige Viren –

http://on.rt.com/4965zk

Reuters / Kacper Pempel

– Laut mehreren Sicherheitsunternehmen, Hacker haben Energie-Unternehmen in den USA und Europa in einem offensichtlichen Fall von Industriespionage angegriffen. Laut mehreren Sicherheitsunternehmen, die Täter scheinen Sitz in Osteuropa zu haben.

– Die Gruppe von Hackern, bekannt als ‚Energetische Bär‘ oder ‚Dragonfly‘, greifen Hunderte von westlichen Öl- und Gasunternehmen sowie Energie-Wertpapierfirmen an und infizieren sie mit Malware die in der Lage sind, der Stromversorgung zu unterbrechen.

– Zusätzliche Ziele waren Energie Netzbetreiber, großen Strom Erzeugung Firmen, Erdöl-Pipeline-Betreiber und Energieversorger von industrielle Ausrüstung. Laut einem am Montag veröffentlichten Bericht von Symantec, die Mehrheit der Opfer befanden sich in den Vereinigten Staaten, Spanien, Frankreich, Italien, Deutschland, Türkei und Polen.

– Die Malware-Kampagne ist ähnlich wie der Operation Olympic Games, ein angeblicher Cyberwar Attacken durch die USA und Israel, die einen Virus namens Stuxnet verwendeten, um die iranische Nuklearindustrie im Juli 2010 zu attackieren. Der Angriff war die erste bekannte große Malware-Kampagne die als Ziel hatte, dem Industriesteuerungen Systemanbieter (ICS) zu schädigen.

– Die amerikanisch-israelische Operation war die iranische Uran-Anreicherungsanlagen zugeschnitten, aber die Dragonfly-Angriffe, trugen die Unterschriften von einer staatlich geförderten-Operation und sind ehrgeiziger, so glaubt die IT-Sicherheitsfirma.

– Spionage, mögliche Sabotage –

– Die Hacker infizieren die industrielle Steuerungssoftware mit einem remote-Zugriff-Typ (Ratte) Trojaner Malware Code – genannt Havex Ratte – die ihnen ein „Brückenkopf in die gezielte Organisationen Netzwerken“ verleiht, sowie die Möglichkeit, infizierte ICS-Clientcomputern zu sabotieren. Die Malware kann auch die Hacker zum Energieverbrauch in Echtzeit überwachen und physikalische Systemen wie Windkraftanlagen, Gasleitungen und Kraftwerke durch diese Software möglicherweise verkrüppeln.

– Symantec sagt die Dragonfly-Hacker sind seit mindestens 2011 in Betrieb, und zunächst haben gezielte Verteidigung und Luftfahrt-Unternehmen in den USA und Kanada ins Visir gehabt. Die Verschiebung des Schwerpunkts auf amerikanischen und europäischen Energie-Unternehmen ereignete sich Anfang 2013.

– Die Kampagne begann mit Phishing-Mails an Top-Führungskräften in den betroffenen Firmen. Dann begann die Dragongly Angriffe (waterhole attacks), die die Websites gefährdeten, die von Beschäftigten in der Sektor arbeiten, besucht werden konnten, dann leiten sie die Besucher zu Webseiten die ein Exploit-Kit verwenden. Das Kit bietet dann Malware auf der Opfer-Computer. Schließlich begann die Hacker legitime Softwarepakete die drei verschiedene ICS-Gerätehersteller gehören zu ‚Trojanizing‘.

– „Dragonfly trägt alle Kennzeichen eines staatlich-Vorgangs mit einen hohen Grad an technischen Möglichkeiten. Die Gruppe ist in der Lage, Angriffe durch mehrere Vektoren zu starten und gefährdet dabei zahlreiche Websites Dritter“ Symantec schrieb in dem Bericht auf seinem Blog.

– Clever, manchmal unprofessionell –

– Die finnische Sicherheitsfirma F-Secure hat auch die Verwendung der Havex Malware verfolgt. „Die Angreifer hinter Havex führen Industriespionage über eine clevere Methode durch. Trojanizing ICS… Software Installateure ist eine effektive Methode beim Zugang zum Ziel-Systeme, darunter möglicherweise auch kritischen Infrastrukturen“, der Firma, sagte auf seinem Blog.

– F-Secure stellte fest, dass „die Gruppe verwalten nicht immer der C & C [Befehl und Steuerung von Servern] professionell, und enthüllt damit mangelnde Erfahrung in der Operationen“.

– Aber seine Sicherheitsanalytiker, Sean Sullivan sagte Infosecurity, dass die Gruppe konnte sehr gut staatlich sein.

– „Es passt in das Muster von einem Nationalstaat die Intelligenz Arbeit betreibt, und verwertbare Systeme in die Finger zu bekommen, um zukünftige „Bedarf“ zu decken, argumentierte er.

– Symantec, F-Secure und eine dritte Sicherheitsfirma, CrowdStrike, glauben alle, dass Cyber-Spionage das Hauptmotiv sei. „Dragonfly hat mehrere Organisationen im Energiebereich, über einen langen Zeitraum der Zeit attackiert. Sein Hauptmotiv scheint Cyber-Spionage zu sein, mit Potenzial für Sabotage, der aber bestimmt eine sekundäre Funktion bekommt“, Symantec sagte.

– Russische Spur? –

Symantec analysiert die Erstellung von Zeitstempeln für die Malware, die von den Hackern verwendet.

– „Der Gruppe arbeitet
01.07.14 – EUROPA – USA – Industrielle Infektion: Hacker legen Würgegriff auf Energie-Unternehmen mit Stuxnet-artige Viren –

http://on.rt.com/4965zk

Reuters / Kacper Pempel

– Laut mehreren Sicherheitsunternehmen, Hacker haben Energie-Unternehmen in den USA und Europa in einem offensichtlichen Fall von Industriespionage angegriffen. Laut mehreren Sicherheitsunternehmen, die Täter scheinen Sitz in Osteuropa zu haben.

– Die Gruppe von Hackern, bekannt als ‚Energetische Bär‘ oder ‚Dragonfly‘, greifen Hunderte von westlichen Öl- und Gasunternehmen sowie Energie-Wertpapierfirmen an und infizieren sie mit Malware die in der Lage sind, der Stromversorgung zu unterbrechen.

– Zusätzliche Ziele waren Energie Netzbetreiber, großen Strom Erzeugung Firmen, Erdöl-Pipeline-Betreiber und Energieversorger von industrielle Ausrüstung. Laut einem am Montag veröffentlichten Bericht von Symantec, die Mehrheit der Opfer befanden sich in den Vereinigten Staaten, Spanien, Frankreich, Italien, Deutschland, Türkei und Polen.

– Die Malware-Kampagne ist ähnlich wie der Operation Olympic Games, ein angeblicher Cyberwar Attacken durch die USA und Israel, die einen Virus namens Stuxnet verwendeten, um die iranische Nuklearindustrie im Juli 2010 zu attackieren. Der Angriff war die erste bekannte große Malware-Kampagne die als Ziel hatte, dem Industriesteuerungen Systemanbieter (ICS) zu schädigen.

– Die amerikanisch-israelische Operation war die iranische Uran-Anreicherungsanlagen zugeschnitten, aber die Dragonfly-Angriffe, trugen die Unterschriften von einer staatlich geförderten-Operation und sind ehrgeiziger, so glaubt die IT-Sicherheitsfirma.

– Spionage, mögliche Sabotage –

– Die Hacker infizieren die industrielle Steuerungssoftware mit einem remote-Zugriff-Typ (Ratte) Trojaner Malware Code – genannt Havex Ratte – die ihnen ein „Brückenkopf in die gezielte Organisationen Netzwerken“ verleiht, sowie die Möglichkeit, infizierte ICS-Clientcomputern zu sabotieren. Die Malware kann auch die Hacker zum Energieverbrauch in Echtzeit überwachen und physikalische Systemen wie Windkraftanlagen, Gasleitungen und Kraftwerke durch diese Software möglicherweise verkrüppeln.

– Symantec sagt die Dragonfly-Hacker sind seit mindestens 2011 in Betrieb, und zunächst haben gezielte Verteidigung und Luftfahrt-Unternehmen in den USA und Kanada ins Visier gehabt. Die Verschiebung des Schwerpunkts auf amerikanischen und europäischen Energie-Unternehmen ereignete sich Anfang 2013.

– Die Kampagne begann mit Phishing-Mails an Top-Führungskräften in den betroffenen Firmen. Dann begann die Dragongly Angriffe (waterhole attacks), die die Websites gefährdeten, die von Beschäftigten in der Sektor arbeiten, besucht werden konnten, dann leiten sie die Besucher zu Webseiten die ein Exploit-Kit verwenden. Das Kit bietet dann Malware auf den Opfer-Computern. Schließlich begannen die Hacker legitime Softwarepakete die drei verschiedenen ICS-Geräteherstellern gehören zu ‚Trojanizing‘.

– „Dragonfly trägt alle Kennzeichen eines staatlich-Vorgangs mit einen hohen Grad an technischen Möglichkeiten. Die Gruppe ist in der Lage, Angriffe durch mehrere Vektoren zu starten und gefährdet dabei zahlreiche Websites Dritter“, Symantec schrieb in dem Bericht auf seinem Blog.

– Clever, manchmal unprofessionell –

– Die finnische Sicherheitsfirma F-Secure hat auch die Verwendung der Havex Malware verfolgt. „Die Angreifer hinter Havex führen Industriespionage über eine clevere Methode durch. Trojanizing ICS… Software Installateure ist eine effektive Methode beim Zugang zum Ziel-Systeme, darunter möglicherweise auch kritischen Infrastrukturen“, der Firma, sagte auf seinem Blog.

– F-Secure stellte fest, dass „die Gruppe verwalten nicht immer der C & C [Befehl und Steuerung von Servern] professionell, und enthüllt damit mangelnde Erfahrung in der Operationen“.

– Aber seine Sicherheitsanalytiker, Sean Sullivan sagte Infosecurity, dass die Gruppe konnte sehr gut staatlich sein.

– „Es passt in das Muster von einem Nationalstaat die Intelligenz Arbeit betreibt, und verwertbare Systeme in die Finger zu bekommen, um zukünftige „Bedarf“ zu decken, argumentierte er.

– Symantec, F-Secure und eine dritte Sicherheitsfirma, CrowdStrike, glauben, dass Cyber-Spionage das Hauptmotiv sei. „Dragonfly hat mehrere Organisationen im Energiebereich, über einen langen Zeitraum der Zeit attackiert. Sein Hauptmotiv scheint Cyber-Spionage zu sein, mit Potenzial für Sabotage, der aber bestimmt eine sekundäre Funktion bekommt“, Symantec sagte.

– Russische Spur? –

Symantec analysiert die Erstellung von Zeitstempeln für die Malware, die von den Hackern verwendet.

– „Der Gruppe arbeitete meist montags bis freitags, die Aktivität konzentrierte sich vor allem in einem neun-Stunden-Zeitraum, der ein 09-18-Arbeitstag im UTC + 4 Zeitzone entsprach. Basierend auf diesen Informationen, es ist wahrscheinlich, dass die Angreifer sich in Eastern Europe befinden“, die Silicon Valley ansässige Sicherheitsfirma schrieb.

– CrowdStrike, ebenfalls mit Sitz in Kalifornien, begann die Verfolgung einer Gruppe von Hackern „Energetic Bear“ genannt, im August 2012. Symantec glaubt, dass die Gruppe und Dragonfly identisch sind.

– In seiner 2013 Global Threat Report CrowdStrike detaillierte die Beweise, die dazu führen zu glauben, dass Energetic Bear eine Gruppe von russischen Hackern sind. Symantec stellt fest, dass die Zeiten der die Angriffe zu Osteuropa führen, aber ging in ihrer Bewertung weiter.

– „Gezielte Entitäten und Länder entsprechen wahrscheinlich die strategischen Interessen von russischen Gegner. Mehrere infizierte Rechner wurden innerhalb der Russischen Föderation beobachtet, aber dies könnte das Ergebnis von zufälligen Unfälle durch SWC-Großeinsatz-Operationen oder bewusste Versuche das inländischen Internet zu überwachen“, so der Bericht.

– Doch unter den Opfern der Hackergruppe, durch F-Secure identifiziert, von denen die meisten in Europa beheimatet sind, befindet sich auch einem russischen Bau Unternehmen“, der anscheinend auf Tragkonstruktionen spezialisiert ist“.
e meist montags bis freitags, die Aktivität konzentrierte sich vor allem in einem neun-Stunden-Zeitraum, der ein 09-18-Arbeitstag im UTC + 4 Zeitzone entsprach. Basierend auf diesen Informationen, es ist wahrscheinlich, dass die Angreifersich in Eastern Europe befinden“ die Silicon Valley ansässige Sicherheitsfirma schrieb.

– CrowdStrike, ebenfalls mit Sitz in Kalifornien, begann die Verfolgung einer Gruppe von Hackern „Energetic Bear“ genannt, im August 2012. Symantec glaubt, dass die Gruppe und Dragonfly identisch sind.

– In seiner 2013 Global Threat Report CrowdStrike detaillierte die Beweise, die dazu führen zu glauben, dass Energetic Bear eine Gruppe von russischen Hackern sind. Symantec stellt fest, dass die Zeiten der die Angriffe zu Osteuropa führen, aber ging in ihrer Bewertung weiter.

– „Gezielte Entitäten und Länder entsprechen wahrscheinlich die strategischen Interessen von russischen Gegener. Mehrere infizierte Rechner wurden innerhalb der Russischen Föderation beobachtet, aber dies könnte das Ergebnis von zufälligen Unfälle durch SWC-Grosseinsatzt-Operationen oder bewusste Versuche das inländischen Internet zu überwachen“, so der Bericht.

– Doch unter den Opfern der Hackergruppe, durch F-Secure identifiziert, von denen die meisten in Europa beheimatet sind, befindet sich auch einem russischen Bau Unternehmen“, der anscheinend auf Tragkonstruktionen spezialisiert ist“.

Kommentare
  1. lothar harold schulte sagt:

    Hat dies auf lotharhschulte rebloggt.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s