Der Sicherheitsdienstleister glaubt, dass es sich bei der aktuellen Angriffsserie um das Werk der Hacker-Gruppe Dragonfly handelt. „Diese Dragonfly 2.0-Kampagne scheint Ende 2015 begonnen zu haben, sie teilt Strategien und Tools aus früheren Kampagnen der Gruppe“, teilte Symantec am Mittwoch mit. Die Angreifer schienen daran interessiert zu sein, mehr über die Funktionsweise von Stromkraftwerken zu lernen und wollten auch Zugriff auf deren operative Systeme erhalten. Das Ziel sei „die Möglichkeit zur Sabotage oder Kontrolle dieser Systeme auf Abruf“, schreibt Symantec.
2011 war Dragonfly zum ersten Mal öffentlich in Erscheinung getreten. Damals hatte sie versucht, die Netzwerke von Generator- und Transformatorherstellern, Betreibern von Umspannwerken, Wartungsfirmen für Pipelines und Entwicklern von Industrial Control Software zu unterwandern. Die Opfer fanden sich – wieder laut Informationen von Symantec – unter anderem in den USA, Spanien, Deutschland, Frankreich und der Türkei. Dass es sich schon damals um eine aufwändigere Angriffskampagne handelte, zeigte die Zahl an verwendeten Angriffs-Vektoren: Dragonfly versendete nicht nur gezielt formulierte Emails mit infizierten Anhängen an Mitarbeiter (Spear-Phishing), die Gruppe versuchte auch mit falschen Flash-Updates, manipulierten Websites und Software-Paketen an die Zugangsdaten ihrer Opfer zu kommen. Wieviel Daten im Endeffekt heruntergeladen wurden, ist unklar.
Nachdem die Angriffe 2014 öffentlich wurden, stellte die Gruppe ihre Arbeit scheinbar ein. Seit Ende 2015 sei das Kollektiv jedoch mit ähnlichen Methoden wieder aktiv – und habe seine Aktivitäten seitdem stetig ausgweitet. Alleine in diesem Jahr seien bereits dutzende Operationen gegen Unternehmen in den USA gefahren worden, behauptet Symantec. Jedoch seien auch schon Firmen in der Schweiz, der Türkei und einigen ungenannten EU-Ländern zum Ziel geworden.
Demnach hat die Gruppe mittlerweile Zugriff auf mehrere Systeme. Sie will am „Schalter sitzen“, um Kontrollsysteme und Schaltstellen zu kontrollieren, die etwa die Stromverteilung regeln. Sie könnten auf diese Weise Kraftwerke nach Belieben hoch und runterfahren – und Einfluss auf nationale Stromnetze ausüben. „Wir sprechen von begründeten technischen Beweisen, dass das in den USA passieren kann“, sagt Eric Chien von Symantec im Gespräch mit WIRED US. „Es gibt nichts, was dem im Wege steht.“
Zuletzt hatten mutmaßlich russische Hacker in einer Reihe von Operationen erfolglos versucht, das Netzwerk eines Kraftwerks in Kansas zu entern. In der Ukraine war es der Gruppe Sandworm sowohl 2015 und 2016 gelungen, in die Steuerungscomputer eines Energieversorgers einzudringen und den Strom für mehrere tausend Menschen abzustellen.
Bekannte Sicherheitsforscher wie Robert M. Lee von Dragos Security glauben, dass „Symantec eine wichtige Entdeckung gemacht“ habe, er warnt aber vor überzogener Panikmache. Die Struktur von westlichen Energienetzen sei flexibler und damit deutlich schwerer ins Wanken zu bringen, als etwa in der Ukraine. Nichts deute daraufhin, dass Hacker einen „Stromausfall oder Teile des Netz lahmlegen könnten“. Zwar sei ein Angriff wie in der Ukraine auch in den USA theoretisch denkbar aber deutlich schwieriger umzusetzen.
Die Hacker von Dragonfly sind derzeit weiterhin aktiv. Ein Rätsel ist, wer hinter dem Kollektiv steckt und welche Ziele er verfolgt. In der eingesetzten Software finden sich laut Symantec-Analysen sowohl Fragmente in russischer als auch französischer Sprache. Das und andere widersprüchliche Hinweise würden es derzeit schwierig machen, „eindeutig festzustellen, wo die Gruppe stationiert ist.“
