Raumfahrt- und Rüstungsindustrie

Cyberbedrohungen für die Luft- und Raumfahrtbranche sowie die Rüstungsindustrie

Unternehmen in der Luft- und Raumfahrtbranche sowie der Rüstungsindustrie sind Cyberbedrohungen durch APT1-Gruppen (Advanced Persistent Threat) mit staatlichen Auftraggebern ausgesetzt, die folgende Ziele verfolgen:

  • Diebstahl geistigen Eigentums, um eigene Programme in diesen Bereichen zu verbessern, Gegenmaßnahmen zu entwerfen und Produkte für den globalen Rüstungsmarkt zu entwickeln.
  • Erfassen von Informationen, die das Ausspionieren und gegebenenfalls die Infiltrierung und Sabotage der Verteidigungssysteme und -fähigkeiten anderer Staaten ermöglichen.
aerospace cyber threats

Bedrohungslage und Branchenprognose

APT-Gruppen werden die Luft- und Raumfahrtbranche sowie die Rüstungsindustrie weiterhin ins Visier nehmen, um Daten zu erbeuten, die ihren Regierungen militärische und wirtschaftliche Vorteile verschaffen. Zukünftige Bedrohungsaktivitäten gegen diese Branchen dürften unter anderem durch folgende Faktoren beeinflusst werden:

  • Neue Technologien wie unbemannte Luftfahrzeuge, Richtenergie- oder Hyperschallwaffen können ein Unternehmen zum bevorzugten Ziel machen, da die Regierungen anderer Staaten im Rüstungswettlauf nicht abgehängt werden wollen.
  • Hacker könnten auf Verteidigungstechnologien zielen, um die Fähigkeiten und Taktiken des Feindes auszuspähen oder bei Kampfeinsätzen Störungen zu verursachen. Eine relativ einfache Methode hierzu ist das Identifizieren kritischer Technologien und das Finden von Schwachstellen auf diesen Plattformen.
  • Das weltweite Wachstum des Waffenhandels wird Staaten vermutlich motivieren, mithilfe von Cyberspionage geistiges Eigentum zu stehlen, um die Kosten der eigenen Forschung zu senken, neue Produkte kostengünstiger anzubieten und sich einen Wettbewerbsvorteil in diesem Marktsegment zu verschaffen.
  • Hacker werden möglicherweise auch vermehrt Zulieferer von Luft- und Raumfahrt- sowie Rüstungsunternehmen infiltrieren, um ihre Netzwerke als Ausgangsplattform für Angriffe auf die größeren Unternehmen dieser Branche zu missbrauchen.
Wir haben mindestens 24 technisch hoch gerüstete Angreifergruppen identifiziert, die Unternehmen aus folgenden Teilsektoren infiltrierten:
  • Großhändler für Bauteile für die Raumfahrt- & Rüstungsindustrie
  • Produktion von Luft- und Raumfahrtprodukten & -bauteilen
  • Produktion von Flugzeugtriebwerken & -bauteilen
  • Produktion von Lenkwaffen & Raumfahrzeugen
  • Fertigung industrieller & militärischer Computersysteme
Bei Unternehmen der Luft- und Raumfahrtbranche Rüstungsindustrie entwendete Daten
  • Budgetinformationen
  • Geschäftskommunikation
  • Berichte & Anleitungen zu Wartungsarbeiten
  • Organigramme & Unternehmensverzeichnisse
  • Personenbezogene Daten
  • Produktentwürfe und -pläne
  • Produktionsprozesse
  • Firmeneigene Informationen zu Produkten und Dienstleistungen
  • Forschungsberichte
  • Sicherheitsmaßnahmen
  • Systemlogdateien
  • Testergebnisse & -berichte

APT-Gruppen infiltrieren Unternehmen in der Luft- und Raumfahrtbranche sowie im Rüstungssektor

FireEye hat in zahlreichen Unternehmen in der Luft- und Raumfahrtbranche sowie in der Rüstungsindustrie Bedrohungsanalysen durchgeführt. Angreifergruppen aus China nehmen diese Unternehmen ins Visier, um chinesischen Firmen in diesen Branchen einen Wettbewerbsvorteil zu verschaffen oder um die Modernisierung der chinesischen Streitkräfte zu unterstützen.

Eine Gruppe aus China hat mindestens sieben Systeme in der IT-Infrastruktur eines Rüstungsunternehmens infiltriert und Dokumente über Kommunikationsstandards entwendet. Sie hatte sich ursprünglich über Spear-Phishing-E-Mails Zugang zum Netzwerk verschafft. Die E-Mail-Adressen der Mitarbeiter waren in öffentlichen Dokumenten enthalten, und die Hacker nutzten vermutlich öffentlich zugängliche Quellen, um ihre Opfer vor dem Angriff zu recherchieren.

Eine weitere chinesische Hackergruppe hatte mehrere Jahre lang Zugang zu mehr als 300 Systemen in einem Luft- und Raumfahrtunternehmen. Bei der Untersuchung des Datenlecks fanden wir heraus, dass diese Gruppe sich auf den Diebstahl vertraulicher Daten konzentriert hatte. Sie spähte gezielt bestimmte Zielsysteme aus, um die Verzeichnisse mit den gewünschten Informationen zu finden.

cyber threats to aerospace industry

TOP 5 DER MALWARE-ARTEN

Bei der Untersuchung gezielter Angriffe auf Unternehmen in der Luft- und Raumfahrtbranche sowie der Rüstungsindustrie hat FireEye vor allem folgende Malware-Arten gefunden:

Gh0stRAT ist ein Remote Access Tool (RAT), das einem frei verfügbaren Quellcode entstammt. Es kann Bildschirm- und Audioaufnahmen durchführen, Webcams einschalten, Prozesse auflisten und beenden, eine Befehlsshell öffnen, Ereignisprotokolle löschen sowie Dateien erstellen, manipulieren, löschen, ausführen und übertragen.
PcClient ist eine Backdoor, mit der der Angreifer Befehle über eine Command-and-Control-Infrastruktur ausführen kann, um sensible Daten wie Tastatureingaben zu erfassen und in einer lokalen Datei zu speichern. In der Regel verfügt die Backdoor über ein Rootkit, wodurch die Erkennung und Beseitigung erschwert wird.
ZXSHHELL (oder auch VIPER) ist eine Backdoor, die über das Internet heruntergeladen werden kann, vor allem von chinesischen Hacker-Websites. Die Backdoor kann Port-Scans ausführen, als Keylogger agieren, Screenshots aufzeichnen, einen HTTP- oder SOCKS-Proxy einrichten, eine Reverse-Shell starten, eine SYN-Flood erzeugen und Dateien übertragen, ausführen oder löschen. Die öffentlich verfügbare Version des Tools enthält eine grafische Benutzeroberfläche, über die der Angreifer mit der Backdoor im System des Opfers interagieren kann.
NX 10550 (oder auch Mutter) ist eine Malware-Backdoor, die als E-Mail-Anhang übertragen werden kann. Sie kann Proxy-Verbindungen erkennen und möglicherweise auch Shellbefehle ausführen und Dateien hoch- und herunterladen.
WITCHCOVEN ist ein Skript, das Informationen über die Betriebssysteme, Browser und Anwendungen der Besucher einer bestimmten Website erfasst. Wir vermuten, dass APT-Angreifer dieses Skript zum Footprinting nutzen. Mit dieser Methode erstellen Hacker ein Profil von Unternehmen und ihren Computersystemen.

TOP 5 DER CRIMEWARE-ARTEN

Sinkhole-Daten von FireEye und durch dynamischen Austausch gewonnene Bedrohungsdaten zeigen, dass die folgenden Crimeware-Arten in den Bereichen Luft- und Raumfahrt sowie in der Rüstungsindustrie am häufigsten entdeckt werden:

Upatre ist ein Downloader, der oft über Spam-E-Mails, Drive-by-Downloads oder Exploits eingeschleust wird. Er lädt in der Regel eine oder mehrere weitere Malware-Arten auf ein infiziertes System herunter, darunter zum Beispiel Zbot, Dyre, Rovnix, CryptoLocker und Necurs.
Comame ist ein Trojaner, der den Fernzugriff auf einen Computer ermöglicht. Er verfügt darüber hinaus über folgende Funktionen: Aufzeichnen von Tastatureingaben, Herunterladen weiterer Malware, Erfassen von Systeminformationen und Dateilisten sowie Manipulieren des Webbrowsers für Klickbetrug. Dieser Trojaner kann zudem Registryeinträge erstellen oder verändern, um Systemstarts zu überdauern.
HOUDINI (oder auch H-Worm) ist ein VBS-basiertes RAT, das mittels HTTP Informationen über das kompromittierte System ausschleust, darunter das HTTP-Header-Feld „User-Agent“, die Betriebssystemversion sowie Host- und Benutzernamen. In einigen Fällen enthält die VBS-Datei mehrere Verschleierungsebenen, zum Beispiel speziell für diesen Zweck modifizierte Base64-Verschlüsselungen. Houdini unterstützt diverse gängige Backdoor-Aktivitäten, darunter das Ausführen von Befehlen per Befehlszeile, das Herunterladen und Ausführen von Programmen sowie den Datendiebstahl.
ANDROMEDA (oder auch Gamarue) ist ein Mehrzweck-Trojaner, der als Keylogger, Formgrabber oder Dropper für andere Schadsoftware eingesetzt werden kann.
SERVSTART (oder auch Nitol) ist ein Trojaner, der entweder als binäre ausführbare Datei oder als Dynamic Link Library installiert wird und sich als Dienst registriert. Über diesen Dienst erhält ein Angreifer Fernzugriff auf den infiltrierten Server und kann weitere gefährliche Dateien herunterladen, installieren und ausführen, das System anhalten oder neu starten und es zur Durchführung von DDoS-Angriffen (Distributed Denial of Service) missbrauchen. Die Malware kommuniziert über TCP- oder UDP-Verbindungen und erstellt einen Mutex, um sicherzustellen, dass nur eine Kopie der Software installiert wird. Darüber hinaus kann sie sich selbst aktualisieren und vom System deinstallieren.

1 Unserer Einschätzung nach agieren Advanced Persistent Threat-Angreifer (APT-Angreifer) im Auftrag einer Regierung, für die sie Daten stehlen oder Netzwerke infiltrieren. Zudem zeichnen sie sich durch Beharrlichkeit und den Einsatz eines breiten Spektrums an Tools und Taktiken aus.