Die Sabotage eines Kraftwerkes durch Hacker ist seit Beginn des Internets eine der größten Angstszenarien überhaupt. Wie kürzlich bekannt wurde, versuchen Hacker im großen Stile, die dafür notwendigen Informationen zu sammeln. Laut IT-Sicherheitsexperten späht seit Jahren eine aktive Hacker-Gruppe mehrere Kraftwerke im Westen und der Türkei aus, um eine Sabotage durchführen zu können. Hierbei gehe es darum, in das Computernetz einzudringen, um dort die Informationen zu sammeln, berichtete die Sicherheitssoftwarefirma Symantec. 20 Unternehmen in den USA, 6 Unternehmen in der Türkei und ein Branchenzulieferer in der Schweiz sollen davon betroffen sein. Deutschland, Niederlande und Belgien sollen auch ins Visier für eine Sabotage der Hacker geraten seien. Allerdings wurden keine erfolgreichen Angriffe festgestellt.
H
inweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir mit der PDF „Sabotage von Kraftwerken“ eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
Informationen für Sabotage durch Screenshots
Um die Industrieanlagen studieren zu können, haben die Hacker in einigen Fällen Screenshots von der Steuersoftware der Industrieanlagen gemacht. Dadurch sind die Angreifer ihr Ziel näher gekommen, die Kontrolle der Anlagen zu übernehmen. Davon geht der Symantec-Forscher Candid Wüest aus. Zudem sind laut Wüest gezielt Dokumente abgeschöpft worden. Unter den PDF- und Word-Dateien sind wohl auch Aufbaupläne für einzelne Komponenten dabei. Dies ermöglicht den Angreifern nun, mit dem neuen Wissen einen nächsten Angriff besser vorzubereiten, selbst wenn die Passwörter geändert wurden. Vor allem bleiben gerade solche Betriebe wie Energieerzeuger jahrzehntelang kaum verändert in Betrieb, obwohl IT-Sicherheitsexperten in den vergangenen Jahren wiederholt auf mangelnde Sicherheitsvorkehrungen hingewiesen haben. Teilweise würden nur die Firewall-Standardeinstellungen genutzt. Symantec hat keine Angriffe auf Atomkraftwerke festgestellt, da Industrieanlagen grundsätzlich vom Internet getrennt sind, um die Gefahr von Online-Angriffen gering zu halten. Dennoch gibt es immer mehr Wind- und Wasserkraftwerke, die an das Internet angebunden sind, damit sie zentral gesteuert werden können.
Dragonfly steckt hinter dem Versuch der Sabotage der Kraftwerke
Die Gruppe, die momentan eine Sabotage plant, ist laut Symantec bereits seit 2011 aktiv und nennt sich „Dragonfly“. Die meisten Angriffe von Dragonfly wurden im Mai 2017 registriert. Seitdem wurden die Cyberangriffe weniger, jedoch ist die Hacker-Gruppe bis heute aktiv. Wüest meint: „Für uns legt das nahe, dass die ganze Aktion noch nicht beendet und vielleicht erst in der Vorbereitungsphase ist.“ Symantec betreut nicht alle Energieunternehmen als Kunden, weshalb davon auszugehen, dass zwei bis dreimal mehr Firmen von den Attacken betroffen seien. Woher die Gruppe kommt, ist allerdings nicht bekannt. Zwar wurden russische und französische Satzfragmente in dem Malware-Code gefunden, dennoch könnte dies aber bewusst eingesetzt worden sein, um die wahre Herkunft zu verschleiern.
Sabotage auf ukrainische Kraftwerke
Eine Sabotage auf Kraftwerke fand bereits in der Ukraine statt. Damals haben Unbekannte drei Stromkraftwerke mit schädlicher Software infiziert und deren Netzwerke zum Zusammenbruch gebracht. Anschließend hatten hunderttausende Haushalte in der west-ukrainischen Region Ivano-Frankiwsk keinen Strom. Der Vorfall stellte damals einen Meilenstein dar. Zwar habe es schon öfter Angriffe auf Energieunternehmen gegeben, nie sei es dabei aber zu einem Blackout gekommen. Damals soll die Malware über gefälschte E-Mails an Mitarbeiter ins Kraftwerk gekommen sein. Als Absender der E-Mail wurde eine Person des ukrainischen Parlaments genommen. Der Inhalt sollte die Mitarbeiter zum Herunterladen des Anhangs bewegen. Darin stand, dass die ukrainische Armee kampfbereit gehalten werden soll und der Staat dafür eine Liste aller Mitarbeiter bräuchte. Weitere Informationen sollten die Empfänger in einer angehängten Word-Datei finden. Wer also nun die Datei öffnete, bekam angezeigt, dass die Word-Version veraltet sei. Damit der Inhalt gelesen werden konnte, sollte das Opfer das Ausführen eines Makros erlauben, also eine Befehlssammlung, die bestimmte Aufgaben automatisiert. Wer das aktivierte, ließ die Malware ins System.
Danke für die Mühe, die Sie gemacht haben, um das alles zusammenzutragen.
MfG Nevresim