Ein aktueller Bericht von Symantec nährt einmal mehr die Sorgen um die Sicherheit der Stromnetze. Warnt der Sicherheitsdienstleister darin doch davor, dass eine Hackergruppe namens "Dragonfly" seit Ende 2015 – offenbar erfolgreich – an der Unterwanderung der zugehörigen IT-Systeme arbeitet. Die Hacker seien in die Netze von 20 Unternehmen in den USA, sechs in der Türkei und eines Branchenzulieferers in der Schweiz eingedrungen. Auch Kraftwerke in Deutschland, den Niederlanden und Belgien seien dabei ins Visier geraten, es seien aber keine erfolgreichen Angriffe festgestellt worden.

Hintergrund

Die Aktivitäten von Dragonfly könnten die Vorbereitung auf einen Angriff auf das Stromnetz sein, befürchtet man bei Symantec nun. Es ist nicht das erste Mal, dass die betreffende Gruppe Schlagzeilen macht, schon 2014 waren ähnliche Angriffe von Dragonfly aufgeflogen. Auch damals ging es darum, Hintertüren in Steuerungsanlagen von Kraftwerken unterzubringen.

Angriffsweg

Für die aktuellen Einbrüche haben sich die Hacker laut den Sicherheitsforschern gezielter Phishing-Kampagnen gegen einzelne Mitarbeiter der betreffenden Anlagen bedient. Üblicherweise werden die Opfer dabei durch Mails, die vorgeben, von Kollegen zu kommen, dazu gebracht, Attachments mit Schadsoftware zu öffnen. In der Folge werden interne Passwörter ausspioniert, um ein Backdoor im lokalen Netz zu verankern. Auch sogenannte "Watering Hole"-Angriffe, bei denen von den Zielpersonen frequentierte Webseiten angegriffen werden, gehören zum Repertoire von Dragonfly.

Bei alldem bleibt unklar, was die eigentliche Intention der Hacker ist. Wirkliche Sabotageakte konnten bisher nicht nachgewiesen werden. Klar ist aber auch, dass das Ganze nur eine Vorbereitung auf zukünftige Angriffe sein könnte. Zudem scheinen die Angreifer Informationen über den Aufbau der Kraftwerke zu sammeln. In einigen Fällen seien Screenshots von der Steuersoftware der Industrieanlagen angefertigt worden, um sie zu studieren. Unter anderem dadurch seien die Angreifer dem Ziel näher gekommen, die Kontrolle über die Anlagen zu übernehmen, sagte Symantec-Forscher Candid Wüest der Deutschen Presse-Agentur. "Zum anderen haben wir gesehen, dass gezielt Dokumente abgeschöpft wurden."

Es sei davon auszugehen, dass unter den PDF- und Word-Dateien auch Aufbaupläne für einzelne Komponenten seien. "Das ermöglicht natürlich jetzt, mit diesem Wissen einen nächsten Angriff besser vorzubereiten, selbst wenn die Passwörter geändert wurden", so Wüest. Und gerade Betriebe wie Energieerzeuger blieben zum Teil jahrzehntelang kaum verändert in Betrieb. Symantec habe dabei keine Angriffe auf Atomkraftwerke festgestellt.

Spurensuche

Ebenfalls ein Rätsel ist bisher, wer hinter Dragonfly steckt. Ein Teil der Kommentare im verwendeten Schadcode ist in Französisch gehalten, ein Teil in Russisch. Auch sonst gebe es keine Hinweise, die eine seriöse Zuordnung erlauben würden, betont der Bericht. (apo, APA, 7.9.2017)