Massiver Hackerangriff auf US-Stromerzeuger

Laut Homeland Security sollen russische Hacker "bis in die Kontrollräume" von vielen US-Stromerzeugern vorgedrungen sein.
 
Das Department of Homeland Security (DHS) hat die US-Presse in einer Medienkonferenz über eine grossangelegte und lange Zeit andauernde, auf Stromerzeuger abzielende Hackerkampagne informiert. Bei den Angreifern soll es sich um eine vom russischen Staat unterstütze Gruppe handeln, die unter den Namen Dragonfly oder Energetic Bear bekannt sei.
 
Laut DHS-Mann Jonathan Homer sollen sich die Hacker dabei auch Zugang zu vermeintlich sicheren, isolierten Netzwerken verschafft haben. Sie seien "bis in die Kontrollräume" vorgedrungen und hätten theoretisch "Schalter umlegen" können.
 
Das haben sie nicht wirklich getan. Gemäss dem DHS haben sie aber Informationen gesammelt, zum Beispiel über die Konfiguration der Stromnetze, welche Geräte im Einsatz stehen und wie sie kontrolliert werden. All diese Informationen könnten theoretisch für einen Grossangriff verwendet werden, bei dem dann tatsächlich die Stromversorgung unterbrochen würde.
 
Laut Homer drangen die Angreifer nicht direkt in die Systeme der Stromerzeuger ein. Stattdessen nahmen sie zuerst Zulieferer und Dienstleister ins Visier, die als vertraute Partner Zugriff zu den Systemen der Hauptziele hatten. Für die Angriffe auf Partner wurden konventionelle Methoden wie Spearphishing verwendet, um Angestellte dazu zu bringen, auf gefälschten Websites Passwörter preiszugeben. In den Netzwerken der Partner suchten die Hacker dann nach Personen mit Zugriff auf Systeme der Stromerzeuger, stahlen deren Logins und drangen via das Partnernetzwerk ins System des Hauptziels ein.
 
Die Methode, die Systeme eines gut gesicherten Hauptziels zu knacken, indem man einen der oft schlechter gesicherten Partner hackt, scheint in letzter Zeit immer öfter aufzutauchen.
 
Wie das DHS erklärte, habe man die Stromlieferanten in den USA schon 2014 vor den Aktivitäten der russischen Gruppe gewarnt. Die nun öffentlich gemachte Angriffskampagne habe im Frühling 2016 begonnen und mindestens bis Ende 2017 angedauert.
 
Das DHS hat diese Pressekonferenz – und anscheinend sollen noch weitere zum gleichen Thema folgen – organisiert, um Druck auf die Industrie aufzusetzen, wie Homer betonte. Diese sollen besser mit dem DHS kooperieren. Dessen Experten würden beispielsweise gerne herausfinden, ob die Angriffe von Dragonfly tatsächlich aufgehört haben. Ebenfalls von Interesse sei, ob die Angreifer es geschafft haben, auch Multifaktor-Authentifizierungsmechanismen auszuhebeln oder ob die Angriffe zunehmend automatisiert werden. (Hans Jörg Maron)