Auf Automatisierungstechnik spezialisierter Schädling bedient sich bei Stuxnet

Laut Angaben von FireEye ist die auf Industrielle Kontrollsysteme ausgerichtete Schadsoftware Irongate bezüglich einiger Eigenschaften dem gefährlichen Wurm Stuxnet überaus ähnlich. Der neue Fund ist wie ein weiterer Warnschuss für die IT-Sicherheitscommunity, der die Dringlichkeit unterstreicht, die Systeme zur Detektion von Schädlingen zu perfektionieren, die kritische Infrastruktur angreifen.

Gleichzeitig wiesen die Forscher aber darauf hin, dass Irongate zum gegenwärtigen Zeitpunkt keine ernsthafte Bedrohung darstellt, da die Malware nur in simulierten Kontrollsystem-Umgebungen funktioniert. Trotzdem blieb dieser Schädling über Jahre unbemerkt, obgleich er die ganze Zeit in der Datenbank von VirusTotal enthalten war. „Unsere Fähigkeit als Branche bezüglich der Erkennung und Detektion von Bedrohungen wächst, sie ist bisher aber noch nicht ausreichend, wie uns derartige Beispiele vor Augen halten“, konstatiert Rob Caldwell, Leiter der Analysegruppe FireEye Labs Advanced Reverse Engineering (FLARE). „Wir müssen unbedingt klarer verstehen, worum es sich bei Bedrohungen für Industrielle Steuerungssysteme handelt und wie wir sie detektieren können, um die Abwehrfähigkeit zu verbessern.“

Laut FireEye sticht der von dem Unternehmen identifizierte Schädling durch seine Fähigkeit hervor, aus einer MitM-Position Prozess-Input und –Output abzufangen und Software anzugreifen, die in simulierten Umgebungen Prozessoperationen durchführt. Das von Irongate kompromittierte System ermöglicht es Angreifern, die industriellen Steuerelemente zu verändern, ohne dass der Systemadministrator es bemerkt. Analoge Techniken wurden früher eingesetzt, um verschiedene kritische Objekte außer Gefecht zu setzen – von Stromversorgungsnetzen bis hin zu logischen Controllern von Zentrifugen, die in nuklearen Anlagen benutzt werden.

Die Forscher fanden Ende des Jahres 2015 ein Irongate-Sample auf VirusTotal, wo sie eigentlich nach Droppern gesucht hatten, die mit Hilfe von PyInstaller kompiliert wurden. Das gefundene Sample ist auf Automatisierungstechnik und andere Industrielle Steuerungssysteme spezialisierten Schädlingen überaus ähnlich. Wie sich herausstellte, wurde das betroffene Sample bereits im Jahr 2012 zur Überprüfung hochgeladen, und nicht ein einziges Antivirus-Programm hat es seither erkannt.

Eine Analyse hat gezeigt, dass der Schädling eine MitM-Technik einsetzt, die auf Angriffe auf eine maßgeschneiderte User-App in einer Siemens Step 7 PLC Simulationsumgebung spezialisiert ist. Die Experten haben zudem eine dynamische Bibliothek entdeckt, die das schädliche Verhalten des ausführbaren Codes tarnen kann. Diese DLL kann fünf Sekunden „normalen“ Traffic von einem simulierten programmierbaren logischen Controller (PLC) aufzeichnen; dieses Traffic-Fragment können die Angreifer dann reproduzieren, um zu verbergen, dass hartcodierte Daten zurück an simulierte Hardware übertragen werden.

Zum Erstaunen der Forscher zeigte sich, dass sich der spezialisierte Schädling – um eine Analyse zu verhindern – wie normale Malware verhält: Beim Start auf einer virtuellen Maschine oder in der Sandbox (Cuckoo) fiel er in den Schlafmodus und verzichtete auf Ausführung.

„Obwohl Stuxnet technisch um Längen komplexer ist, hat Irongate einige ähnliche Züge“, erklärte Sean McBride, Senior Threat Intelligence Analyst bei FireEye. Insbesondere wies er darauf hin, dass beide Schädlinge darauf spezialisiert sind, ein ganz konkretes Steuerungssystem anzugreifen und Mechanismen zum Schutz vor Entdeckung einsetzen: Stuxnet ist in der Lage, die Anwesenheit von Antiviren-Programmen zu erkennen, Irongate erkennt virtuelle Maschinen. Doch im Gegensatz zu seinen wenigen nahen Verwandten – BlackEnergy, Havex und eben Stuxnet, ist Irongate in der Praxis harmlos: Dieser Schädling läuft nur in simulierten Siemens-Umgebungen.

Wer also hat diesen Schädling entwickelt, und zu welchem Zweck? FireEye hat hierzu drei Hypothesen aufgestellt. Erstens nehmen die Experten an, dass der Autor die Hoffnung hatte, irgendjemand würde diesen Code aus der simulierten Umgebung importieren und ihn in einer realen Arbeitsumgebung einsetzen. Möglich ist auch, dass Irongate für den Einsatz in der realen Welt erst in einer simulierten Umgebung getestet werden sollte und der Schädling an VirusTotal weitergeleitet wurde, um sicherzustellen, dass er nicht detektiert wird. Die dritte Annahme hält man bei FireEye allerdings für die wahrscheinlichste: Irgendein IT-Sicherheitsspezialist hat einfach vergessen, dass er diesen Code irgendwann einmal bei VirusTotal zur Überprüfung hinterlegt hat.

„Wir als Branche müssen größere Anstrengungen unternehmen, um Bedrohungen zu erkennen, die sich gegen Industrielle Steuerungssysteme richten“, schließt Dan Scali, Senior Manager bei FireEye. „Insgesamt hat es seit Stuxnet keine großen Fortschritte bei der Lösung von Problemen gegeben, wie sie uns durch Irongate vor Augen geführt werden. Angesichts der Tatsache, dass solche Angriffe zunehmend einfacher umzusetzen sind, ruft die Frage adäquater Schutzmaßnahmen durchaus Besorgnis hervor.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.