XENOTIME: APT bedroht kritische Infrastrukturen

Heutzutage betrifft die Cyberkriminalität alle Unternehmensformen. Allein in diesem Jahr wurden Cyberangriffe gegen Rathäuser, Aluminiumhersteller und sogar weltbekannte Unternehmen wie Amazon durchgeführt. Alle diese Vorfälle haben schwerwiegende Folgen für die Opfer: von Reputationsschäden, Unterbrechungen in der Produktionskette über die Stilllegung des gesamten Unternehmens bis hin zu hohen Geldbußen.

Zweifellos gibt es einen Sektor, der besonders anfällig ist: die kritischen Infrastrukturen. Cyberangriffe, die die Wasserversorgung eines Landes beeinträchtigen oder den Krankenhausbetrieb unterbrechen, die sogar zu Todesfällen führen könnte.

Anzeige

Xenotime: eine Bedrohung für industrielle Steuerungssysteme

Mehrfach wurde bereits thematisiert was wäre, wenn ein Angriff die Stromversorgung eines Landes unterbricht: diese Situation könnte Realität werden. Eine Gruppe von Hackern, die sich Xenotime nennen, die anscheinend eine Verbindung zu Russland hat, führt Advanced Persistent Threat´s (APT) durch. Laut BSI sind folgende Merkmale typisch:

  • Gezielter Angriff auf ausgewählte Organisationen
  • Typischerweise Einsatz verschiedener Angriffstechniken
  • Persistente (d.h. dauerhafte) Bedrohung / Infektion
  • Starker, d.h. mit umfangreichen Ressourcen und Know-How versehener Angreifer
  • Ausbreitung im internen Netz

Entdeckt wurde dies, als ein Malware-Angriff auf die industriellen Kontrollsysteme eines Ölkonzerns im Nahen Osten durchführt wurde, die das sicherheitsrelevante System stören konnte. Nach diesem Ereignis begann Xenotime Unternehmen außerhalb des Nahen Ostens anzugreifen. Bis heute ist es immer noch einer der wenigen Malware-Programme, die es geschafft haben, den technischen Prozess eines ICS (Industrial Control Systems) zu beeinflussen.

Nun wurden Forscher eines industriellen Cybersicherheitsunternehmens darauf aufmerksam, dass Xenotime damit begonnen hat, die Netzwerke von Stromversorgern in den Vereinigten Staaten und im asiatisch-pazifischen Raum zu prüfen. Sie suchen nach Informationen und zählen die mit diesen Unternehmen verbundenen Netzwerkressourcen auf. Laut Forschern könnte diese Verhaltensweise darauf hindeuten, dass die Gruppe weitere Cyberangriffe vorbereitet oder zumindest die Voraussetzungen für eine zukünftige ICS-Infiltration schaffen.

Ein taktischer Wechsel

Im Jahr 2018 stiegen die Schwachstellen in kritischen Infrastrukturen im Vergleich zum Vorjahr um 14%. Prognosen zeigen, dass die Zahl der Schwachstellenwarnungen im Jahr 2019 weiter steigen wird. In den letzten zwei Jahren waren tatsächlich 90% der kritischen Infrastrukturen von mindestens einem Cyberangriff betroffen.

Das US-Energieministerium ist sich bewusst, wie verwundbar ihr System sein könnte. Deshalb führten sie 2016 „Liberty Eclipse“ durch, eine Simulation eines Cyberangriffs, der bei Durchführung in acht Staaten zu Stromausfällen führte. Die Behörde wollte die Reaktion testen und Mitarbeiter in Diskussionen über die Vorbereitung von Cybervorfällen einbeziehen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie man Cyberangriffe auf kritische Infrastrukturen eindämmen kann

Diese Art der Simulation ist eine sehr gute Möglichkeit zu erkennen, wie ein Unternehmen auf einen Cyberangriff dieser Größenordnung reagieren würde. Um ihren Schutz zu gewährleisten, müssen diese Unternehmen einer Reihe von Empfehlungen folgen.

  • Analyse von Schwachstellen: Um ein tiefes Verständnis ihrer Systeme zu erlangen, ist es für Unternehmen wichtig, eine Analyse durchzuführen. Auf diese Weise können sie Schwachstellen oder Sicherheitslücken erkennen. Die Verantwortlichen der Cybersicherheit müssen ihnen in ihren Sicherheitsplänen Priorität einräumen und in Betracht ziehen, sie zu isolieren, wenn sie ein ernsthaftes Risiko darstellen.
  • Automatische Reaktion: Wenn eine Cyberangriff stattfindet, ist Zeit von entscheidender Bedeutung, um ihn zu verhindern. Auch ist es wichtig, Aktionsprotokolle und automatische Reaktionen zu haben – sofern er abgewehrt werden kann.
  • Ständige Überwachung: Um Systeme vor Bedrohungen und Beeinträchtigungen zu schützen, sollten jederzeit Netzwerkaktivitäten einsehbar sein. Panda Adaptive Defense überwacht in Echtzeit alle Prozesse: Es erkennt unbekannte Systemaktivitäten und verhindert die Ausführung. Auf diese Weise werden Gefahren vermieden, bevor sie auftreten.

Das Whitepaper IT-Schutz für kritische Infrasturkturen (KRITIS) steht hier zum Download bereit.

www.pandanews.de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.