Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Eine neue Malware bedroht den Nahen Osten

von Andy Greenberg
Eine Malware namens Triton ist im Nahen Osten entdeckt worden. Sie hat es auf Sicherheitssysteme in der Industrie abgesehen. Die Folgen eines Schadens durch Triton wären katastrophal.

Seit Stuxnet im Jahr 2010 zum ersten Mal Zentrifugen zur Urananreicherung im Iran angegriffen und manipuliert hat, wartet die Welt auf den nächsten Schritt im digitalen Wettrüsten: eine neue bösartige Malware, darauf ausgelegt, industrielle Anlagen anzugreifen oder zu manipulieren. Eine dieser seltenen Arten schädlicher Software ist jetzt im Nahen Osten aufgetaucht. Und sie scheint ein besonderes Ziel zu haben: das Abschalten von Sicherheitssystemen, die menschliches Leben schützen sollen.

Die Sicherheitsfirma FireEye hat die Existenz von Triton, auch bekannt als Trisis, bestätigt. Dabei handelt es sich um eine schädliche Software, deren Aufgabe es ist, industrielle Kontrollanlagen zu kompromittieren. Bislang ist weder bekannt, in welcher Art von Industrieanlage die hochentwickelte Malware ihr Unheil anrichtete, noch in welchem Land. Man weiß aber, auf was sie es abgesehen hat: Equipment, das von dem Unternehmen Schneider Electric vertrieben wird. Dieses wird hauptsächlich in der Öl- und Gasindustrie eingesetzt, manchmal aber auch in Kernkraftanlagen oder Fertigungsstätten. Triton scheint extra dafür entwickelt worden zu sein, Triconex-Produkte von Schneider zu manipulieren oder lahmzulegen. Das sind Sicherheitssysteme und Prozessleitsysteme, die von unterschiedlichen Firmen produziert werden, um industrielle Prozesse zu kontrollieren.

Die Komponenten des Sicherheitssystems sind so entwickelt, dass sie unabhängig von anderen Geräten in einer Anlage funktionieren, um potenziell gefährliche Vorgänge zu überwachen. Im Notfall lösen sie einen Alarm aus oder leiten einen Shutdown, das Abschalten, des betroffenen Gerätes oder der Anlage ein, um Unfälle oder Sabotage-Versuche zu verhindern.

Indem Hacker in Prozessleitsysteme eindringen, können sie mit Hilfe der Malware Triton ganz neue gefährliche Situationen schaffen, in denen etwa Menschen verletzt, Explosionen oder Lecks ausgelöst werden. Da der Code von Triton so programmiert ist, dass die Malware die Sicherheitsvorkehrungen von Triconex einfach aushebeln kann, würde die eigentlich „ausfallsichere“ Technik, die in so einem Szenario abschalten würde, versagen. So ergeben sich neue und gefährliche Möglichkeiten für Hacker-Taktiken, die kritische Infrastrukturen ins Visier nehmen.

„Die amerikanische Sicherheitsfirma Mandiant (Anm. d. Red.: eine Tochtergesellschaft der FireEye) hat auf einen Vorfall in einer kritischen Infrastruktur reagiert. Dort hat ein Angreifer Malware eingeschleust, die speziell dafür entwickelt wurde, Sicherheitssysteme in der Industrie zu manipulieren“, berichtet FireEye. „Wir gehen davon aus, dass der Angreifer gerade dabei war, die Fähigkeit zu entwickeln, Menschen körperlich zu verletzen sowie unbeabsichtigte Abschaltprozesse zu verursachen.“ Triton verhalte sich wie eine Nutzlast, nachdem Hacker sich einen Zugang zu dem Netzwerk einer Anlage verschafft haben, so Rob Lee, Gründer des Security-Unternehmens Dragos.

Lee erklärt, dass seinem Unternehmen die Malware das erste Mal vor einem Monat im Nahen Osten aufgefallen und er sie seitdem analysiert habe. Erst dann habe FireEye der Öffentlichkeit von ihrer Existenz berichtetet.

Wenn Triton in einem industriellen Schaltsystem installiert wird, sucht der Code nach Triconex-Equipment von Schneider Electric. Das Programm bestätigt dann, dass es sich damit verbinden kann und beginnt anschließend, es mit neuen Anweisungen zu füttern. Wenn diese Befehle von den Triconex-Komponenten nicht akzeptiert werden sollten, kann es das komplette Sicherheitssystem zum Absturz bringen. In dem oben genannten Fall sei es aber nicht dazu gekommen, die „Befehle wurden erfolgreich von den Triconex-Komponenten angenommen und die Anlage wurde sicher abgeschaltet“, schreibt Schneider Electric in einer Mail.

Da Triconex-Systeme als „störungssicher“ (fail-safe) entwickelt wurden, würde dies dazu führen, dass sich auch andere Systeme aus Sicherheitsgründen abschalten und so die Operationen in der Anlage unterbrechen. „Wenn das Sicherheitssystem ausfällt, stoppen auch alle anderen Systeme“, so Lee.

Und genau das ist auch im Nahen Osten passiert: FireEye entdeckte, dass Triton auf einen Vorfall reagierte, bei dem sich das Sicherheitssystem eines Unternehmens sicher abschaltete – ein automatischer Shutdown aller industriellen Prozesse – ohne ersichtlichen Grund. John Hultquist, Chefanalyst für Cyberspionage bei FireEye, glaubt, dass die Manipulation des Systems eher zufällig war. Nachvollziehbarer wäre die Absicht, das System am Laufen zu halten, während das Prozessleitsystem manipuliert wird. „Hätten die Hacker wirklich angreifen wollen, hätten sie bessere Möglichkeiten gehabt, da sie auch das Prozessleitsystem kontrolliert hatten“, sagt Hultquist. „Sie hätten viel größeren Schaden anrichten können.“

Allein der Gedanke daran, so etwa zu tun ist schrecklich.

Rob Lee

Laut Lee wäre das Ausmaß dieses potenziellen Schadens – ob nun verursacht durch Malware oder einen physischen Angriff – sehr viel schwerwiegender. „Alles würde normal und funktionsfähig erscheinen, nur dass man eben ohne ein Sicherheitsnetz arbeiten würde“, so Lee. „Es könnte zu Explosionen kommen, Ölkatastrophen, Fertigungsanlagen könnten bersten oder Gas austreten und etliche Menschen dabei umkommen. Es hängt ganz davon ab, für was der industrielle Prozess gerade zuständig ist, aber es könnten Dutzende dabei sterben.

Dass Triton es auf Sicherheitssysteme abgesehen hat, mache es zu einer der gefährlichsten Malware überhaupt, meint Lee. „Mit diesen potenziellen Auswirkungen ist es eine der ungeheuerlichsten Malware überhaupt“, so Lee weiter. „Allein schon der Gedanke daran, so etwa zu tun, ist schrecklich.“

In einem Statement an WIRED schreibt Schneider Electric, dass man von dem Problem wisse und ermittle. „Schneider Electric ist bewusst, dass es eine zielgerichtete Störung gab, bei dem gezielt das Triconex Tricon Safety Shutdown System eines einzelnen Kunden ins Visier genommen wurde“, heißt es in dem Schreiben. „Wir arbeiten eng mit unseren Kunden, unabhängigen Organisationen aus der Cybersecurity sowie ICS-CERT zusammen, um zu ermitteln sowie die Risiken eines solchen Angriffs zu mildern. Während die Beweislage auf einen einzelnen, isolierten Vorfall hindeutet und nicht etwa auf Anfälligkeiten im Triconex-System oder dem Programmiercode, untersuchen wir, ob es noch weitere Angriffsvektoren gibt. Wir weisen darauf hin, dass das Triconex System bei diesem Vorfall absolut korrekt reagierte und sicher alle Operationen in der Anlage abschaltete. Weder der Kunde noch die Umwelt haben Schaden genommen.“

Triton ist bisher erst die dritte bekannte Art von Malware, die darauf ausgelegt ist, physischen Dingen Schaden zuzufügen. Die erste war Stuxnet, von der viele glauben, dass sie von der NSA in Zusammenarbeit mit dem israelischen Geheimdienst entwickelt worden war. Und Ende vergangenen Jahres attackierte der Trojaner Industroyer oder Crash Override die ukrainische Stromversorgung und sorgte dafür, dass in Kiew für kurze Zeit die Lichter ausgingen. Experten halten die russische Hackergruppe Sandworm für die Verantwortlichen. Die staatlichen Hacker führen seit 2014 einen Cyber-Krieg gegen die Ukraine.

Laut Hultquist könnte Triton viel weiter eskalieren als seine beiden Vorgänger. „Der größte Unterschied ist, dass das Tool, mit dem wir es hier zu tun haben, dafür gebaut wurde, Sicherheitssysteme zu kontrollieren“, sagt er. „Da diese ausfallsichere Technologie Menschen und Anlagen schützen soll, kann das gefährliche Konsequenzen haben. Hier geht es nicht nur darum, mal kurz das Licht abzuschalten, sondern darum, dass es vor Ort in Anlagen zu tatsächlichen physischen Vorfällen kommen könnte.“

Weder FireEye noch Dragos wollten sich dazu äußern, wer Triton entwickelt haben könnte und mit welchen Zielen.

Zu den üblichen Verdächtigen gehört auch der Iran, denn seine Liste mit Cyberattacken im Nahen Osten ist lang. 2012 etwa zerstörte die iranische Malware Shamoon Zehntausende von Computern bei Saudi Aramco. Viele sahen diese Attacke als Vergeltungsschlag gegen den Westen, nachdem Stuxnet die nuklearen Ambitionen des Irans sabotiert hatte. Im vergangenen Jahr zielte eine neue Variante von Shamoon auf Computersysteme in Saudi Arabien und rund um den Persischen Golf ab. Erst kürzlich hat FireEye zwei staatlich gesponserte Hackergruppen überwacht, die kritische Infrastruktur untersucht haben und einige Ziele sogar mit Dropper-Software infiziert haben sollen. Dies Software scheint einen Datenangriff vorzubereiten.

Sowohl Lee als auch Hultquist glauben, dass diese Implementation von Triton ein Test war und zu Forschungszwecken diente. Das wiederum lässt die Möglichkeit zu, dass die schädliche Software auch gegen Ziele im Westen eingesetzt werden könne, meint Lee. Auch wenn sie dafür umgeschrieben werden müsse, denn Triconex-Systeme sind speziell auf jeden einzelnen Kunden und die jeweilige Industrieanlage, in der sie eingesetzt werden, zugeschnitten. Nichtsdestotrotz befürchtet Lee, dass die Entwicklung von Triton eine neue Ära einleiten könnte. Eine, in der Hacker Sicherheitssysteme angreifen und somit die Risiken von Tod und Zerstörung in Kauf nehmen. „Ich glaube nicht, dass diese Malware in Europa oder Nordamerika auftauchen wird, aber der Feind hat einen Blueprint entwickelt, mit dem er Sicherheitssysteme angreifen kann“, so Lee. „Genau das testet er. Und das sollte uns allen Sorgen bereiten.“

Dieser Artikel erschien zuerst auf WIRED.com.

GQ Empfiehlt
Könnten Hacker die US-Wahl sabotieren?

Könnten Hacker die US-Wahl sabotieren?

von Max Biederbeck