Mysteriöse Malware zielt auf industrielle Kontrollsysteme, leiht Stuxnet-Techniken

Forscher haben ein Malware-Programm gefunden, das SCADA-Systeme manipulieren soll, um die realen Messwerte vor industriellen Prozessen zu verbergen.

Die gleiche Technik wurde von der Stuxnet-Sabotage-Malware verwendet, die angeblich von den USA und Israel geschaffen wurde, um das iranische Atomprogramm zu stören und eine große Anzahl Urananreicherungszentrifugen des Landes zu zerstören.

Die neue Malware wurde in der zweiten Jahreshälfte entdeckt letztes Jahr von Forschern der Sicherheitsfirma FireEye, nicht in einem aktiven Angriff, sondern in der VirusTotal-Datenbank. VirusTotal ist eine von Google betriebene Website, auf der Benutzer verdächtige Dateien zur Überprüfung durch Antiviren-Engines einschicken können.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Das mysteriöse Programm, das FireEye als IRONGATE bezeichnet hat wurde 2014 von verschiedenen Quellen auf VirusTotal hochgeladen. Zu diesem Zeitpunkt wurde von keinem der von der Website verwendeten Antiviren-Produkte als bösartig erkannt.

Es ist auch überraschend, dass bis Ende 2015 kein Unternehmen die Malware identifiziert hat, da die VirusTotal-Proben automatisch freigegeben werden mit allen Antivirus-Anbietern, die am Projekt teilnehmen.

FireEye selbst hat es entdeckt, weil das Unternehmen nach potentiell verdächtigen Samples suchte, die mit PyInstaller kompiliert wurden, einer Technik, die von verschiedenen Angreifern verwendet wird. Zwei IRONGATE-Nutzlasten ragten heraus, weil sie auf SCADA und die damit verbundenen Funktionen verweisen.

Die gute Nachricht ist, dass die Proben ein Beweis für das Konzept oder Teil eines Forschungsaufwands sind. Sie wurden entwickelt, um eine bestimmte DLL zu finden und zu ersetzen, die mit Siemens SIMATIC S7-PLCSIM kommuniziert, einem Softwareprodukt, mit dem Benutzer Programme auf simulierten S7-300 und S7-400 speicherprogrammierbaren Steuerungen (SPS) ausführen können die spezialisierten Hardwaregeräte, die industrielle Prozesse überwachen und steuern - Drehmotoren, Öffnen und Schließen von Ventilen usw. Sie übermitteln ihre Messwerte und andere Daten an eine Überwachungssoftware, die Mensch-Maschine-Schnittstelle (HMI), die auf Arbeitsstationen von Ingenieuren läuft.

Wie Stuxnet im iranischen Kernkraftwerk Natanz hat IRONGATE das Ziel, sich in den SCADA-Überwachungsprozess einzuschleusen und die von PLCs stammenden Daten zu manipulieren, wodurch laufende Sabotage möglicherweise verdeckt wird.

Stuxnet hat dies durch Aussetzen der SPS-Operation gemildert Zentrifugenrotorgeschwindigkeit würde statisch und innerhalb normaler Grenzen bleiben, während dies tatsächlich nicht der Fall war. IRONGATE zeichnet stattdessen gültige Daten von der SPS auf und spielt diese Daten dann kontinuierlich ab - denken Sie an Räuber, die dieselbe Videoaufzeichnung in einer Schleife einer Überwachungskamera zuführen.

Die Tatsache, dass IRONGATE mit einem SPS-Simulator interagiert und eine DLL ersetzt Die FireEye-Forscher glauben, dass diese Malware wahrscheinlich nur ein Test war.

Das Siemens-Team für Computer-Notfall-Bereitschaft (ProductCERT) "hat bestätigt, dass der Code nicht gegen einen Standard-Siemens funktionieren würde Kontrollsystem-Umgebung ", sagten die FireEye-Forscher in einem Blog-Post Donnerstag.

Allerdings, wenn IRONGATE nur ein Beweis des Konzepts im Jahr 2014 entwickelt wurde, einen Stuxnet-wie Man-in-the-Middle-Angriff gegen PLCs zu testen, Es könnte bedeuten, dass seine Ersteller seither ein anderes Malware-Programm erstellt haben, das gegen echte Implementierungen von Industrial Control System (ICS) funktioniert. So oder so, die Entdeckung von IRONGATE sollte eine Warnung für Organisationen sein, die SCADA-Systeme betreiben.

"Die Angreifer haben Stuxnet-Techniken gelernt und implementiert, aber die Verteidiger haben die Fähigkeit, Malware gegen ICS zu entdecken, nicht wirklich verbessert", Dale Peterson, Der CEO der ICS-Sicherheitsberatung Digital Bond, sagte in einem Blogbeitrag. "Wir brauchen eine signifikante Verbesserung der Erkennungsfähigkeiten für ICS-Integritätsangriffe."