Sicherheitsforscher haben eine Cyberattacke auf eine Industrieanlage aufgedeckt, die zu einer teilweisen Abschaltung führte. Dabei wurde gezielt das Sicherheitssystem attackiert, wie das Security-Unternehmen FireEye am Donnerstag laut Reuters bekannt gegeben hat.

Sicherheitssystem für Energieversorger

Ziel des Angriffs war das Triconex-Sicherheitssystem vom Hersteller Schneider Electric. Das System wird vor allem bei Energieversorgern, darunter auch Atomkraftwerken eingesetzt. Beim aktuellen Vorfall versuchten Angreifer Controller mithilfe einer Malware namens Triton neu zu programmieren – die Controller sollen Sicherheitsprobleme identifizieren. Dabei schalteten einige der Controller jedoch in einen Fail-Safe-Modus, was dazu führte, dass gewisse Prozesse abgeschaltet wurden. So wurde der Angriff schließlich bemerkt.

Die Absicht der Angreifer ist jedoch eindeutig. Indem zuerst das Sicherheitssystem manipuliert wird, könnten andere Bereiche einer Anlage unbemerkt angegriffen werden. Die manipulierten Controller würden dann ein fehlerfreies Funktionieren der Anlage anzeigen, während sich Hacker unbemerkt daran zu schaffen machen. Triton ist nach Stuxnet und Crash Override/Industroyer die dritte bekannte Malware, die auf die Manipulation von Industrieanlagen abzielt.

Anlage in Saudi Arabien vermutet

Um welche Anlage es sich handelt, wollten weder FireEye noch Schneider offenlegen. Ein von Reuters befragtes IT-Sicherheitsunternehmen geht davon aus, dass es eine Anlage im Mittleren Osten bzw. Saudi Arabien sein könnte. Dahinter werden iranische Hacker vermutet. Schneider arbeitet mit dem US-Heimatschutzministerium zusammen, um den Angriff zu untersuchen. Andere Kunden, die das System einsetzen, wurden bereits informiert. (red, 15.12.2017)