Industrielle Steuerungssysteme
Schwachstellen auf den Zahn gefühlt
Fortsetzung des Artikels von Teil 1
Anhang: TOP-3-Bedrohungen im Energiesektor
Im ersten Halbjahr 2019 identifizierte das ICS Cert Team von Kaspersky in Norwegen und Dänemark drei Software-Schädlinge als besonders gefährlich.
Jobangebote+ passend zum Thema
Glupteba Bot
dentifiziert wurde. Die Malware wird über ein Botnet, Adware, Exploit-Kits für »Wasserloch-« und Drive-by-Angriffe sowie Phishing-E-Mails verbreitet.
Der Glupteba-Trojaner ist inzwischen ein vollwertiger Bot und damit infizierte Computer bilden ein in sich geschlossenes Botnet. Die von der Malware verwendeten Befehls- und Kontrollserver sind spezifisch für jeden Angriff und werden verwendet, um den Botnet-Agenten zu steuern, zum Beispiel um bösartige Software-Module nachzuladen. Entwickler des Glupteba-Botnetzes verkaufen den Zugriff auf infizierte Systeme als Service.
Glupteba-Bots werden häufig als Proxy für bösartigen Datenverkehr und als Teil gezielter Angriffe eingesetzt. Der Angriff kann erhebliche Auswirkungen auf Steuerungscomputer und -Netzwerke haben, da die Malwareaktivität das Netzwerk verstopft und die Fähigkeit hat, beliebige Befehle auf dem Zielcomputer auszuführen.
Meterpreter backdoor
Über die Meterpreter-Hintertür werden Computer in industriellen Netzwerken von Energiesystemen ferngesteuert. Meterpreter ist Teil des Metasploit-Frameworks und wird für die manuelle oder halbautomatische Übernahme der angegriffenen Computersysteme verwendet.
Meterpreter ist eine sog. »körperlose« Malware. Es kann schädlichen, ausführbaren Code direkt in den Speicher laden, ohne eine ausführbare Datei auf der Festplatte zu hinterlassen. Dadurch bleibt Meterpreter lange unentdeckt. Die erste Angriffswelle, ihre Herkunft und Ziele werden derzeit analysiert.
Syswin
Syswin ist ein in Phyton geschriebener Wurm, der in Gestalt einer ausführbaren Windows-Datei über Netzwerkfreigaben und Wechselmedien verbreitet wird. Er nistet sich im befallenen System als Autorun ein und setzt eine Löschmarkierung in allen ausführbaren Dateien. Dadurch werden beim Neustart alle markierten Dateien vom Betriebssystem gelöscht und der Computer außer Betrieb gesetzt.
Beim Infizieren von Wechseldatenträgern ändert der Wurm die Größe jeder Datei auf 0. Dadurch ist kein Zugriff auf die Dateien mehr möglich. Syswin kann aufgrund seiner Selbstausbreitung erhebliche Auswirkungen auf Steuerungscomputer und -Netzwerke haben und viele Daten vernichten.
- Schwachstellen auf den Zahn gefühlt
- Anhang: TOP-3-Bedrohungen im Energiesektor
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Star Lab gehört jetzt zu Wind River
Übernahme stärkt Position bei Embedded Security und Linux
Security-Kompetenz gestärkt
Rockwell Automation übernimmt Avnet Data Security
Security-Guide von Kaspersky
Wie sicher sind meine Systeme?
