Thought Leadership
Sicherheitsforscher von SentinelOne, dem Spezialisten für Endpoint-Security, haben in einem europäischen Energiekonzern eine neue hochentwickelte Malware-Variante entdeckt.
Dabei handelt es sich um das „Mutterschiff“ des vor einigen Monaten identifizierten Schadsoftware-Samples Furtim, das Steuerungssysteme der industriellen Automatisierung mit raffinierter Malware infiziert und als Virus-Dropper die Freisetzung von Nutzdaten ermöglicht. Auf diese Weise kann es schließlich zu einem völligen Blackout des Energienetzes kommen.
Die Experten von SentinelOne haben die Malware rückentwickelt und auf diese Weise einen komplexen Binärcode enthüllt, der die Handschrift eines im staatlichen Auftrag entwickelten Angriffs trägt. Einige Indizien lassen dabei auf Osteuropa schließen. Laut den Forschern ist die Software Teil eines raffinierten, mehrstufigen und gezielten Angriffs, der typischerweise aus drei Phasen besteht: Die Umgehung bestehender Abwehrmaßnahmen, die Erkundung der anvisierten Netzwerkstruktur und Rückinformation an den Command-and-Control-Server sowie das Abgreifen der Nutzdaten.
Die Malware zielt auf Geräte mit Microsoft Windows Software und wurde speziell dafür entwickelt, traditionelle Antivirus-Software und Firewalls – inklusive solcher, die statische und heuristische Techniken nutzen – zu umgehen. Darüber hinaus ist die Malware dafür gerüstet, Sandbox-Umgebungen sowie Systeme, die biometrische Zugangskontrollen nutzen, zu erkennen. In diesem Fall ist die Software in der Lage, sich selbst wieder zu verschlüsseln und ihre Tätigkeit bis zum Entfernen aus der Versuchsumgebung einzustellen, um ihre Entdeckung zu verhindern.
„Die Ausgereiftheit der Malware und die Kosten, die mit der Entwicklung einer derart raffinierten Software verbunden sind, sprechen eindeutig für einen nationalstaatlichen Angriff“, sagt Udi Shamir, Chief Security Officer von SentinelOne. „Hier waren offensichtlich mehrere Entwickler am Werk, die mehr als ein duzend Antivirus-Lösungen rückentwickelt haben und außergewöhnliche Anstrengungen unternommen haben, um einer Entdeckung zu entgehen. Immerhin konnten sie u.a. bewirken, dass die AV-Software ausfällt ohne den Nutzer zu warnen. Angriffe dieser Art erfordern beträchtliche Mittel und viel Erfahrung und sind höchstwahrscheinlich das Ergebnis eines staatlichen Auftrags und nicht irgendeiner Gruppe von Cyberkriminellen zuzuschreiben.“
Die im Mai identifizierte Schadsoftware Furtim hat sich nun als Teil dieser bisher unbekannten Malware herausgestellt, die entsprechend Furtim´s Parent genannt wird. Die Entdeckung der Malware liefert neue Erkenntnisse zu jüngeren Angriffe auf kritische staatliche Infrastrukturen sowie dem Komplexitätsniveau ausgefeilter Verschleierungsmethoden. Es ist davon auszugehen, dass auch weitere Unternehmen von dem äußerst seltenen Malware-Sample infiziert worden sind. Dank den Ergebnissen der Untersuchung von SentinelOne ist es allerdings möglich, diese zu identifizieren und zu entfernen.
Weitere Informationen:
Den ausführlichen Bericht der Sicherheitsexperten können Sie hier herunterladen.
