Symantec warnt
Westliche Energieunternehmen sind Spionage-Angriffen ausgesetzt
Informationsschutz-Experte Symantec warnt am Beispiel der Hackergruppe »Dragonfly« davor, dass westliche Energieunternehmen Spionage-Angriffen im Regierungsauftrag ausgesetzt sind. Die Warnung vor der »vermutlich in Osteuropa« »im Auftrag einer Regierung« tätigen Hackergruppe sollte ernst genommen werden.
Zwar hat das US-Unternehmen Symantec noch nie vor der eigenen (US-)Regierung gewarnt, seine »politisch korrekten« Hinweise auf die vermutlich in Osteuropa im Auftrag einer Regierung handelnden Hackergruppe, die sich auf Angriffe auf den Energie-Sektor spezialisierte, verdienen jedoch Beachtung. Laut Symantec hat die Gruppe »Dragonfly« seit 2013 gezielt Spionage-Attacken gegen Energieunternehmen in verschiedenen westlichen Ländern ausgeführt. Unter anderem gegen Stromerzeuger, Pipeline-Betreiber sowie spezielle Ausrüster für den Energie-Bereich aus Deutschland, Spanien, USA, Frankreich, Italien, Türkei, Polen, Griechenland, Serbien, Rumänien. Die Informationen hätten letztlich gezielter Sabotagebetreibung gedient.
Ähnlich wie bei Stuxnet konzentrierte man sich darauf, Software von Herstellern industrieller Steuerungssysteme (Industrial Control System, kurz ICS), die im Energie-Sektor häufig zum Einsatz kommen, mit einem speziellen Trojaner zu infiltrieren. Über Softwareaktualisierungen der entsprechenden Steuerungssysteme wurde so Schadcode eingeschleust und die Hacker erhielten Zugriff auf die Netzwerke. Die Attacken wurden meist über einen längeren Zeitraum ausgeführt, um möglichst viele Informationen auszuspionieren.
Daneben setzten die Hacker auch (Spear-) Phishing Mails an ausgewählte Mitarbeiter in Unternehmen ein sowie sogenannte Waterhole Attacks: Hierbei wurden z. B. Webseiten mit Schadcode infiziert, die vornehmlich von Experten aus dem Energie-Bereich besucht werden, um sich über die Schadcodeinfektion einen »Zugang« zu den anvisierten Unternehmen zu verschaffen.
Vor dem Angriff auf den Energiesektor habe die Gruppe seit 2011 Verteidigungsorganisationen und Luftfahrtunternehmen in den USA und Kanada attackiert. Interessanterweise war die Hackergruppe mit festen Geschäftszeiten, nämlich Montags bis Freitags von 9:00 Uhr bis 18:00 Uhr unterwegs. Weitere Details zum Vorgang finden sich auf Symantecs Response Blog.
