Hacker dringen in Energie-Unternehmen ein

Bild: Symantec
Auch eine Schweizer Firma ist von der Angriffswelle betroffen. Weitere Unternehmen in den USA und in der Türkei wurden zum Ziel der Hackergruppe Dragonfly.
 
Eine seit Jahren aktive Hacker-Gruppe kundschaftet laut IT-Sicherheitsexperten Kraftwerke im Westen und der Türkei aus, um sie sabotieren zu können. Dabei gehe es derzeit darum, in Computernetze einzudringen und Informationen zu sammeln, erklärte der Security-Anbieter Symantec.
 
Die Hacker seien in die Netze von 20 Unternehmen in den USA, sechs in der Türkei und eines – nicht näher genannten – Branchenzulieferers in der Schweiz eingedrungen. Auch Kraftwerke in Deutschland, den Niederlanden und Belgien, seien dabei ins Visier geraten, es seien aber keine erfolgreichen Angriffe festgestellt worden.
 
Informationen konnten geklaut werden
In einigen Fällen seien Screenshots von der Steuersoftware der Industrieanlagen angefertigt worden, um sie zu studieren. Unter anderem dadurch seien die Angreifer dem Ziel näher gekommen, die Kontrolle über die Anlagen zu übernehmen, sagte Symantec-Forscher Candid Wüest.
 
"Zum anderen haben wir gesehen, dass gezielt Dokumente abgeschöpft wurden", sagte Wüest. Es sei davon auszugehen, dass unter den PDF- und Word-Dateien auch Aufbaupläne für einzelne Komponenten seien. "Das ermöglicht natürlich jetzt, mit diesem Wissen einen nächsten Angriff besser vorzubereiten, selbst wenn die Passwörter geändert wurden."
 
Eingedrungen sind die Angreifer mit unterschiedlichen Methoden, schreibt Symantec. Darunter Spear-Phishing-E-Mails, also gezielte Angriffe auf einzelne Mitarbeiter, Trojaner Software sowie Watering-Hole-Attacken, also Angriffe über verseuchte Websites. Die Hacker hätten eine Reihe von Websites, mit Inhalten relevant für die Energiebranche, mit Malware infiziert.
 
Keine Angriffe auf AKW festgestellt
Und gerade die IT-Systeme von Betrieben wie Energieerzeugern bleiben zum Teil jahrzehntelang kaum verändert in Betrieb. Symantec habe aber keine Angriffe auf Atomkraftwerke festgestellt. "Wir sehen, dass die wahrscheinlichsten Ziele Fernzugriff und Sabotage sind", sagte Wüest zum Vorgehen der Angreifer. In den bisher bekannten Fällen war es Hackern 2015 und 2016 zwei Mal gelungen, Kraftwerke in der Ukraine zu stören.
 
Die Gruppe, die derzeit in die Netze der Kraftwerke einzudringen versucht, ist laut Symantec bereits seit 2011 aktiv und wird unter dem Namen Dragonfly geführt. Die aktuelle Kampagne habe 2015 begonnen und sei im laufenden Jahr intensiviert worden. Die Sicherheitsforscher legen sich nicht auf die Herkunft der Gruppe fest. Im Softwarecode seien Fragmente auf Russisch und Französisch gefunden worden, das könnten aber auch falsche Fährten sein. (kjo/sda)