Energiewirtschaft

Cyberbedrohungen für die Energiebranche

Unternehmen in der Energiebranche sind Cyberbedrohungen durch folgende Angreifer ausgesetzt:

  • APT1-Gruppen (Advanced Persistent Threat), die es auf Daten abgesehen haben, die ihre staatlichen Auftraggeber bei der Gewährleistung der nationalen und wirtschaftlichen Stabilität unterstützen könnten. Ziel dürften hauptsächlich Informationen in Bezug auf Rohstoffexplorationen und Energiegeschäfte sein. APT-Gruppen könnten zudem Sabotageakte vorbereiten, um der Energiebranche eines Gegners im Konfliktfall Schaden zuzufügen oder Störungen zu verursachen.
  • Hacktivisten könnten Energiekonzerne zudem als Reaktion auf vermeintliche Kontroversen ins Visier nehmen. So könnten sie DDoS-Angriffe (Distributed Denial of Service) durchführen, Websites verunstalten oder vertrauliche Daten entwenden und veröffentlichen, um ein Unternehmen bloßzustellen und auf ein Thema aufmerksam zu machen.
energy cyber threats

Bedrohungslage und Branchenprognose

Aufgrund ihrer Bedeutung für die nationale und wirtschaftliche Sicherheit wird die Energiebranche vermutlich ein vorrangiges Ziel für Internetkriminelle bleiben. Zukünftige Bedrohungsaktivitäten gegen diese Branche dürften unter anderem durch folgende Faktoren beeinflusst werden:

  • Die kontinuierlich und rasant sinkenden Ölpreise wirken sich auf den Wert gestohlener Öl- oder Gasbohrtechnologien aus, sodass APT-Gruppen ihre Strategien aus Profitabilitätsgründen womöglich anpassen.
  • Laufende Innovationen in der Entwicklung fossiler Brennstoffe und in der Produktion alternativer Energien könnten zu mehr Cyberspionage führen, wenn staatliche Unternehmen APT-Gruppen mit dem Diebstahl geistigen Eigentums und geschützter Daten beauftragen.
  • Der steigende globale Energiebedarf und die Verknappung natürlicher Ressourcen könnten ebenfalls eine erhöhte Aktivität von Cyberspionen nach sich ziehen, da Staaten an Daten interessiert sind, die ihnen einen Wettbewerbsvorteil im Kampf um Energiesicherheit verschaffen könnten.
  • Aus diesem Grund spähen vermutlich in Russland ansässige Angreifergruppen industrielle Steuersysteme und SCADA-Systeme aus.
  • Auch Konflikte zwischen Staaten werden unter Umständen zu einer stärkeren Bedrohungsaktivität führen, wenn staatlich beauftragte Angreifer versuchen, den Druck auf einen Gegner zu erhöhen, indem sie seine Energieversorgung stören.
  • Umweltprobleme und andere Kontroversen im Zusammenhang mit Energiequellen könnten eine erhöhte Aktivität von Hacktivisten zur Folge haben, die Aufmerksamkeit auf die Probleme lenken und die in ihren Augen verantwortlichen Unternehmen an den Pranger stellen möchten.
Wir haben mindestens 16 technisch hoch gerüstete Angreifergruppen identifiziert, die Unternehmen aus folgenden Teilsektoren infiltrierten:
  • Entwicklung alternativer Energien
  • Kohleabbau
  • Kernenergie-Entwicklung
  • Erdgasversorgung & -vermarktung
  • Exploration & Produktion von Öl & Gas
  • Herstellung von Ausrüstung für Öl- & Gasfelder
  • Öl- & Gasfelddienstleistungen, Erdölraffination
Bei Energiekonzernen entwendete Daten
  • Bei Energiekonzernen entwendete Daten
  • Informationen zu Geschäftsprozessen
  • Informationen zu Vertragsverhandlungen
  • Führungskommunikation
  • Marktanalysen
  • Proprietäre Technologien

APT-Gruppe infiltriert Erdölraffinerie

Eine Erdölraffinerie bat uns kürzlich um Unterstützung, da ihr Netzwerk vermutlich infiltriert worden war. Bei der Untersuchung stellten wir fest, dass Hacker Schwachstellenanalysen durchgeführt und sich dann mit SQL-Injektionen auf der Website des Unternehmens Zugang zu dessen Netzwerk verschafft hatte. Nachdem sie in das Netzwerk eingedrungen waren, hackten die Angreifer mindestens 50 Systeme und stahlen über vier Gigabyte an Daten eines Geschäftsbereichs, der für die Exploration und spätere Produktion von fossilen Brennstoffen zuständig ist.

Cyber Threats to Energy Sector

WICHTIGSTE MALWARE

Bei der Untersuchung gezielter Angriffe auf Unternehmen in der Energiebranche hat FireEye vor allem die folgenden Malware-Arten gefunden:

SOGU (oder auch Kaba, PlugX) ist eine Backdoor, die Folgendes ermöglicht: Hoch- und Herunterladen von Dateien, Starten beliebiger Prozesse, Zugriff auf Dateisystem, Registry und Dienstkonfigurationen, Fernzugriff auf Shells sowie Implementierung eines individuell angepassten VNC/RDP-ähnlichen Protokolls, um dem Command-and-Control-Server (C2-Server) Zugriff auf die grafische Bedienoberfläche des Desktops zu verschaffen.
ADDTEMP (oder auch Desert Falcon und Arid Viper) wird häufig per Spear Phishing übertragen. Die Malware erstellt Screenshots, protokolliert Tastatureingaben, lädt Dateien hoch oder herunter, stiehlt gespeicherte Passwörter aus der System-Registry und ruft Informationen aus DOC- und XLS-Dateien auf der Festplatte oder verbundenen USB-Geräten des Opfers ab.
WITCHCOVEN ist ein Skript, das Informationen über die Betriebssysteme, Browser und Anwendungen der Besucher einer bestimmten Website erfasst. Wir vermuten, dass APT-Angreifer dieses Skript zum Footprinting nutzen. Mit dieser Methode erstellen Hacker ein Profil von Unternehmen und ihren Computersystemen.
Gh0stRAT ist ein Remote Access Tool (RAT), das einem frei verfügbaren Quellcode entstammt. Es kann Bildschirm- und Audioaufnahmen durchführen, Webcams einschalten, Prozesse auflisten und beenden, eine Befehlsshell öffnen, Ereignisprotokolle löschen sowie Dateien erstellen, manipulieren, löschen, ausführen und übertragen.
SpyNet ist ein frei verfügbares RAT, mit dem Internetkriminelle über eine Remote-Shell mit einem kompromittierten System kommunizieren, Dateien hoch- und herunterladen, mit der Registry interagieren sowie Prozesse und Dienste starten und beenden können. Das Tool kann Desktop-Screenshots erstellen, Webcam- und Audioaufnahmen mitschneiden, gespeicherte Kennwörter extrahieren und ein kompromittiertes System in einen Proxyserver verwandeln. Des Weiteren ermöglicht SpyNet das Aufzeichnen von Tastatureingaben, verfügt über Anti-Debugging-Funktionen und kann VM-Abwehrmechanismen aushebeln.

WICHTIGSTE CRIMEWARE

Sinkhole-Daten von FireEye und durch dynamischen Austausch mit anderen Beobachtern gewonnene Bedrohungsdaten zeigen, dass in der Energiebranche am häufigsten die folgenden Crimeware-Arten entdeckt werden:

Jenxcus (oder auch njw0rm, njworm) ist eine Weiterentwicklung des gängigen Tools njRAT (oder auch Backdoor.LV), die Wechseldatenträger infiziert, um Anmeldedaten zu stehlen. Oft wird sie über Links in E-Mails oder Drive-by-Downloads auf kompromittierten Websites übertragen.
HOUDINI (oder auch H-Worm) ist ein VBS-basiertes RAT, das die Betriebssystemversion, Host- und Benutzernamen sowie andere Informationen über das infiltrierte System erfasst und per HTTP an den C2-Server übermittelt. In einigen Fällen enthält die VBS-Datei mehrere Verschleierungsebenen, zum Beispiel speziell für diesen Zweck modifizierte Base64-Verschlüsselungen. Houdini unterstützt zudem diverse Aktionen, darunter das Ausführen von Befehlen per Befehlszeile, das Herunterladen und Ausführen von Programmen sowie den Datendiebstahl.
JpiProx ist ein Trojaner, der sich als Browser-Add-on installiert und Werbung in aufgerufene Websites einschleust. JpiProx tarnt sich als Browser-Plug-in, um illegale Umsätze aus Werbebetrug zu generieren. Zu diesem Zweck schleust er Werbung auf Websites ein, die von Nutzern auf einem infizierten Host aufgerufen werden. Mitunter installiert JpiProx außerdem weitere Malware oder unerwünschte Programme, wie Webproxy-Software, die Datenverkehr über infizierte Hosts umleitet, um seinen tatsächlichen Ursprung zu maskieren. Darüber hinaus kann der Trojaner Informationen über ein infiziertes System sowie eine Liste von aufgerufenen Websites oder andere Informationen ausschleusen.
ZeroAccess (oder auch Sirefef) ist ein Trojaner mit anspruchsvollen Rootkit-Funktionen. Er wurde ursprünglich für die Einschleusung anderer Schadprogramme entwickelt und dann für den Klickbetrug weiterentwickelt.
Upatre ist ein Downloader, der häufig über Spam-E-Mails, Drive-by-Downloads oder Exploits übertragen wird und weitere Malware auf ein infiziertes System herunterlädt. Bei bislang untersuchten Angriffen wurde Upatre zur Verbreitung verschiedenster Arten von Malware genutzt, darunter zum Beispiel Zbot, Dyre, Rovnix, CryptoLocker und Necurs.

1 Unserer Einschätzung nach agieren Advanced Persistent Threat-Angreifer (APT-Angreifer) im Auftrag einer Regierung, für die sie Daten stehlen oder Netzwerke infiltrieren. Zudem zeichnen sie sich durch Beharrlichkeit und den Einsatz eines breiten Spektrums an Tools und Taktiken aus.