Bauwirtschaft und Ingenieurwesen

Cyberbedrohungen für das Bau- und Ingenieurwesen

Unternehmen im Bauwesen und den verschiedenen Branchen des Ingenieurwesens sind Cyberbedrohungen durch APT1-Gruppen (Advanced Persistent Threat) ausgesetzt, die folgende Ziele verfolgen:

  • Diebstahl von geistigem Eigentum zu technischen Innovationen, Know-how und Prozessen, das staatlichen Unternehmen und der einheimischen Bau- und Ingenieursbranche bei der Entwicklung helfen soll.
  • Zugriff auf Daten ausländischer Firmen, die an wichtigen Projekten beteiligt sind (z. B. Behörden, Infrastruktur oder große Stadtentwicklungsprojekte), um dem staatlichen Auftraggeber Informationen zu verschaffen, die bei der Umsetzung eigener Projekte nützlich sein könnten.
  • Überwachung ausländischer Konkurrenten, um staatseigenen Firmen die Möglichkeit zu geben, die Konkurrenz bei einer Ausschreibung zu unterbieten oder im allgemeinen Wettbewerb zu überholen. Alternativ kann es darum gehen, einem staatlichen Auftraggeber, der eine Zusammenarbeit mit einem ausländischen Unternehmen erwägt, eine bessere Verhandlungsposition zu verschaffen, damit er den Preis drücken kann.
construction and engineering cyber threats

Bedrohungslage und Branchenprognose

Die Bedeutung der Bau- und Ingenieursbranche für unterschiedliche Sektoren wie Fertigung, Energie, Transport, Luft- und Raumfahrt sowie Verteidigung wird vermutlich dafür sorgen, dass diese Branche auch weiterhin zu den wichtigsten Zielen für staatlich gesponserte Cyberspione gehört. Wir gehen davon aus, dass die zunehmende Urbanisierung sowie Infrastrukturinvestitionen in Schwellenländern zu einem steigenden Interesse an dieser Branche führen werden, denn staatliche Auftraggeber sind an Informationen interessiert, die ihnen helfen, ihre diesbezüglichen Ziele zu erreichen und gleichzeitig die Kosten zu senken. Wir haben wiederholt beobachtet, dass staatlich gesponserte Internetkriminelle geistiges Eigentum und geschäftliche Informationen stehlen, um einheimischen Unternehmen Wettbewerbsvorteile für die Zukunft zu verschaffen (zum Beispiel beim Einsatz oder der Vermarktung bahnbrechender neuer Materialien, die eine effizientere Konstruktion ermöglichen).

Wir haben mindestens 25 technisch hoch gerüstete Angreifergruppen identifiziert, die Institutionen aus folgenden Teilsektoren infiltrierten:
  • Architektur- & Ingenieursdienstleistungen
  • Fertigung von Metallen für Architektur & Konstruktion
  • Reparatur & Wartung kommerzieller Anlagen
  • Auftragnehmer für kommerzielle Anlagen & schwere Konstruktion
  • Fertigung von Baumaschinen
  • Reparaturservices für elektronische Geräte
  • Fertigung von elektronischen Inspektions- & Überwachungsinstrumenten
  • Ingenieurs-, Wissenschafts- & CAD/CAM-Software
  • Ingenieursdienstleistungen
  • Services für Erosionsschutz
  • Fertigung vorkonfektionierter Metallprodukte
  • Fertigung industrieller Steuerungsprodukte
  • Fertigung von Maschinen
  • Fertigung von Metallventilen & Rohrleitungen
  • Stahlproduktion
  • Fertigung von Turbinen
Bei Bauunternehmen und Ingenieurbüros entwendete Daten
  • Geschäfts- & finanzbezogene Dokumente
  • Behördliche Anweisungen, Berichte und Datensätze &
  • Dokumente aus der Personalabteilung
  • Interne Kommunikation
  • Rechtsdokumente
  • Dokumente über die Netzwerkinfrastruktur
  • Produktdesigns, Blaupausen, Anleitungen & Schulungsmaterialien
  • Testergebnisse & -berichte

Angreifer stehlen Daten eines Energieanlagenherstellers

Bei der Untersuchung eines Vorfalls bei einem Hersteller industrieller Infrastrukturen für die Energiebranche fanden wir heraus, dass die Angreifer auf einen mit dem Internet verbundenen Webserver zugreifen konnten, weil dort noch die Standard-Anmeldedaten des Herstellers genutzt wurden. Die Angreifer installierten Webshells und verschafften sich so Fernzugriff auf das System des Unternehmens. Nachdem sie Anmeldedaten von Domainkonten und Netzwerkinformationen gestohlen hatten, spähten sie die gesamte Umgebung aus und erstellten verschlüsselte RAR-Dateien mit gestohlenen Daten, die sie anschließend aus dem Netzwerk ausschleusten. Die Hacker griffen noch zwei weitere Monate lang auf die Unternehmensumgebung zu und stahlen dort Daten, bevor dies unterbunden wurde.

malware detected construction

Wichtigste Malware

Bei der Untersuchung gezielter Angriffe auf die Bau- und Ingenieursbranche hat FireEye vor allem die folgenden Malware-Arten gefunden:

LEOUNCIA LEOUNCIA ist ein Backdoor-Programm, das Dateien hoch- und herunterladen, ausführbare Dateien starten und beliebige Shell-Befehle ausführen kann. Darüber hinaus kann es Prozesse auflisten und beenden, an Verzeichnislisten gelangen sowie mittels HTTP-Anforderungen mit einem Command-and-Control-Server kommunizieren.
LV LV (oder auch NJRAT) ist ein frei verfügbares Remote Access Tool (RAT), das über folgende Funktionen verfügt: Protokollierung von Tastatureingaben, Ausspähen von Anmeldedaten, Zugriff auf Reverse-Shells, Hoch- und Herunterladen von Dateien sowie Durchführen von Änderungen an Dateisystem und Registry. Zudem stellt das Tool eine "Entwicklerfunktion" bereit, mit der Angreifer neue Varianten erstellen können.
Gh0stRAT Gh0stRAT ist ein RAT, das einem frei verfügbaren Quellcode entstammt. Es kann Bildschirm- und Audioaufnahmen durchführen, Webcams einschalten, Prozesse auflisten und beenden, eine Befehlsshell öffnen, Ereignisprotokolle löschen sowie Dateien erstellen, manipulieren, löschen, ausführen und übertragen.
9002 9002 (oder auch HOMEUNIX) ist in erster Linie ein Launcher für heruntergeladene Plug-ins. Diese werden in einem Zwischenspeicher abgelegt, dann geladen und von der Malware manuell verknüpft. Folglich kommen die Plug-ins nicht mit der Festplatte in Berührung. Diese Backdoor speichert jedoch möglicherweise auch Plug-ins, sodass sie nach einem Neustart des Systems ausgeführt werden können, ohne dass die Angreifer sie erneut an das Zielsystem senden müssen.
SpyNet SpyNet ist ein frei verfügbares RAT, mit dem Cyberkriminelle über eine Remote-Shell mit einem kompromittierten System kommunizieren, Dateien hoch- und herunterladen, mit der Registry interagieren sowie Prozesse und Dienste starten und beenden können. Das Tool kann Desktop-Screenshots erstellen, Webcam- und Audioaufnahmen mitschneiden, gespeicherte Kennwörter extrahieren und ein kompromittiertes System in einen Proxyserver verwandeln. Des Weiteren ermöglicht SpyNet das Aufzeichnen von Tastatureingaben, verfügt über Anti-Debugging-Funktionen und kann VM-Abwehrmechanismen aushebeln.

WICHTIGSTE CRIMEWARE

Sinkhole-Daten von FireEye und durch dynamischen Austausch gewonnene Bedrohungsdaten zeigen, dass in der Bau- und Ingenieursbranche am häufigsten die folgenden Crimeware-Arten entdeckt werden:

POWESSERE (oder auch Poweliks) ist eine „dateilose“ Malware, die ausschließlich in der Windows-Registry existiert. Sie wird häufig über Microsoft Office-Exploits oder Phishing-E-Mails verbreitet, die Themen rund um Canada Post oder USPS als Aufhänger nutzen. Da Powessere die Windows-Registry direkt manipuliert, werden keinerlei Dateien auf dem infizierten System generiert. Die Malware wird in Stufen ausgeführt, beginnend mit einem verschlüsselten JavaScript in einem AutoRun-Schlüssel. Sobald Powessere vollständig installiert ist, greift eine speicherresidente Dynamic Link Library auf grundlegende Systeminformationen zu und lädt gegebenenfalls weitere Malware herunter.
Kovter ist eine Art von Ransomware. Sie gleicht den Browserverlauf mit einer Liste bekannter pornografischer Websites ab. Wenn eine Übereinstimmung gefunden wird, erscheint ein Dialogfenster, in dem behauptet wird, dass der Computer aufgrund des Verdachts auf illegale Aktivitäten von einer Strafverfolgungsbehörde beschlagnahmt wurde. Anschließend verlangt Kovter eine Zahlung, um das System wieder freizugeben.
Fareit (oder auch Pony Loader bzw. InfoStealer) ist ein Trojaner für den Datendiebstahl, der infizierte Systeme auch für DDoS-Angriffe missbrauchen und weitere Arten von Malware herunterladen kann.
Perlbot ist eine in Perl programmierte Malware, die Webserver infiziert, auf denen möglicherweise anfällige Content-Management-Systeme oder Komponenten wie PHP laufen. Sie führt spontan Code über die Befehlszeilenoption innerhalb des HTTP-Query-Strings aus und versetzt den Bot dadurch in die Lage, weiteren Code herunterzuladen und auszuführen. In der Regel wird Perlbot „nur“ zum Bitcoin Mining eingesetzt. Ein solcher Angriff kann jedoch auch zur Fernsteuerung eines Servers oder zum Ausschleusen sensibler Daten führen.
Cryptowall (oder auch Crowti) ist eine Ransomware, die Dateien auf dem infiltrierten Gerät verschlüsselt. Sie nutzt den „Onion Router“ TOR für die Kommunikation mit ihrem Command-and-Control-Server.

1 Unserer Einschätzung nach agieren Advanced Persistent Threat-Angreifer (APT-Angreifer) im Auftrag einer Regierung, für die sie Daten stehlen oder Netzwerke infiltrieren. Zudem zeichnen sie sich durch Beharrlichkeit und den Einsatz eines breiten Spektrums an Tools und Taktiken aus.