SentinelOne entdeckt staatlichen SCADA-Angriff auf westeuropäischen Energiekonzern

München (ots) - Sicherheitsforscher von SentinelOne, dem
Spezialisten für Endpoint-Security, haben in einem europäischen
Energiekonzern eine neue hochentwickelte Malware-Variante entdeckt.
Dabei handelt es sich um das "Mutterschiff" des vor einigen Monaten
identifizierten Schadsoftware-Samples Furtim, das Steuerungssysteme
der industriellen Automatisierung mit raffinierter Malware infiziert
und als Virus-Dropper die Freisetzung von Nutzdaten ermöglicht. Auf
diese Weise kann es schließlich zu einem völligen Blackout des
Energienetzes kommen.

Die Experten von SentinelOne haben die Malware rückentwickelt und
auf diese Weise einen komplexen Binärcode enthüllt, der die
Handschrift eines im staatlichen Auftrag entwickelten Angriffs trägt.
Einige Indizien lassen dabei auf Osteuropa schließen. Laut den
Forschern ist die Software Teil eines raffinierten, mehrstufigen und
gezielten Angriffs, der typischerweise aus drei Phasen besteht: Die
Umgehung bestehender Abwehrmaßnahmen, die Erkundung der anvisierten
Netzwerkstruktur und Rückinformation an den
Command-and-Control-Server sowie das Abgreifen der Nutzdaten.

Die Malware zielt auf Geräte mit Microsoft Windows Software und
wurde speziell dafür entwickelt, traditionelle Antivirus-Software und
Firewalls - inklusive solcher, die statische und heuristische
Techniken nutzen - zu umgehen. Darüber hinaus ist die Malware dafür
gerüstet, Sandbox-Umgebungen sowie Systeme, die biometrische
Zugangskontrollen nutzen, zu erkennen. In diesem Fall ist die
Software in der Lage, sich selbst wieder zu verschlüsseln und ihre
Tätigkeit bis zum Entfernen aus der Versuchsumgebung einzustellen, um
ihre Entdeckung zu verhindern.

"Die Ausgereiftheit der Malware und die Kosten, die mit der
Entwicklung einer derart raffinierten Software verbunden sind,
sprechen eindeutig für einen nationalstaatlichen Angriff", sagt Udi
Shamir, Chief Security Officer von SentinelOne. "Hier waren
offensichtlich mehrere Entwickler am Werk, die mehr als ein duzend
Antivirus-Lösungen rückentwickelt haben und außergewöhnliche
Anstrengungen unternommen haben, um einer Entdeckung zu entgehen.
Immerhin konnten sie u.a. bewirken, dass die AV-Software ausfällt
ohne den Nutzer zu warnen. Angriffe dieser Art erfordern
beträchtliche Mittel und viel Erfahrung und sind höchstwahrscheinlich
das Ergebnis eines staatlichen Auftrags und nicht irgendeiner Gruppe
von Cyberkriminellen zuzuschreiben."

Die im Mai identifizierte Schadsoftware Furtim hat sich nun als
Teil dieser bisher unbekannten Malware herausgestellt, die
entsprechend Furtim´s Parent genannt wird. Die Entdeckung der Malware
liefert neue Erkenntnisse zu jüngeren Angriffe auf kritische
staatliche Infrastrukturen sowie dem Komplexitätsniveau ausgefeilter
Verschleierungsmethoden. Es ist davon auszugehen, dass auch weitere
Unternehmen von dem äußerst seltenen Malware-Sample infiziert worden
sind. Dank den Ergebnissen der Untersuchung von SentinelOne ist es
allerdings möglich, diese zu identifizieren und zu entfernen.

Den ausführlichen Bericht der Sicherheitsexperten können Sie hier
herunterladen: https://sentinelone.com/blogs/sfg-furtims-parent/

Pressekontakt:
PR-Agentur: Weissenbach PR
Dorothea Keck
Tel. +49 (0) 89 5506 7773
E-Mail: sentinelOne@weissenbach-pr.de
Web: www.weissenbach-pr.de/