Categories: Allgemein

F-Secure enttarnt Angriffsmuster von Havex: Industrielle Kontrollsysteme im Visier der Malware-Familie

Angreifer verstecken Remote-Access-Trojaner (RAT) in Installationsprogrammen von ICS- und SCADA-Software

München – 24. Juni 2014: Die Malware-Experten von F-Secure haben die Angriffsmuster der Havex-Malware-Familie weitgehend enttarnt. Havex tritt immer wieder in gezielten Angriffen gegen industrielle Anwendungen in Erscheinung. Das Ziel der Angreifer ist Industriespionage, die mit einer cleveren Methode ausgeführt wird. Dabei werden Trojaner in Installationsprogrammen von ICS- und SCADA-Software, also industrieller Prozess-Steuerungssoftware (ICS – Industrial Control System; SCADA – Supervisory Control and Data Acquisition), untergebracht. Dies ist eine wirksame Methode, um sich Zugang zu entsprechenden Systemen und sogar kritischen Infrastrukturen zu verschaffen. Die Nutzung kompromittierter Command and Control (C&C)-Server ist typisch für diese Malware-Gruppe.

„Im Frühjahr 2014 haben wir festgestellt, dass Havex ein besonderes Interesse an Industrial-Control-Systemen hat. Die Gruppe, die dahintersteckt, verwendet einen innovativen Trojaner-Ansatz, um die Opfer zu kompromittieren“, erklärt Sean Sullivan vom F-Secure Lab.

Die Angreifer nutzen als Zwischenziel ICS-Hersteller-Websites mit Trojaner-infizierter Software, die zum Download bereitsteht. Damit sollen wiederum Computer infiziert werden, die an ICS-Umgebungen angebunden sind. Dies entspricht der „Watering-Hole“-Methode, bei der die Opfer an die „Wasserstelle“ gelockt werden, wo der Feind lauert. Die Angreifer missbrauchen dabei vermutlich Schwachstellen in der Software, mit der die Websites betrieben werden, um legitime Software-Installer, die zum Download zur Verfügung stehen, durch infizierte zu ersetzen.

Für die Angriffe sind zwei Hauptkomponenten nötig: ein Remote-Access-Trojaner (RAT) und ein Server mit der Skriptsprache PHP. Aus Mangel an Betriebserfahrung gelingt es ihnen jedoch nicht immer, die C&C-Server in einer professionellen Art und Weise zu steuern. Eine zusätzliche Komponente ist schädlicher Code, der es erlaubt Daten von infizierten Rechnern in industriellen Steuerungssystemen abzugreifen. Dies deutet darauf hin, dass die Cyber-Kriminellen daran interessiert sind, die vollständige Kontrolle über die industriellen Steuerungssysteme zu erlangen. F-Secure gelang es nun, aufgrund verdächtiger Aktivitäten infizierte Computer zu identifizieren, die mit diesen Servern in Verbindung treten. Dabei konnte F-Secure Angriffsziele in verschiedenen Branchen aufspüren.

„Unsere bisherige Analyse hat ergeben, dass Websites von drei Softwareanbietern auf diese Weise kompromittiert wurden. Wir vermuten aber, dass es noch weitere vergleichbare Fälle gibt, die noch nicht identifiziert worden sind. Alle drei Unternehmen beschäftigen sich mit der Entwicklung von Anwendungen und Hardware für den industriellen Einsatz. Die Unternehmen stammen aus Deutschland, der Schweiz und Belgien“, erläutert Sean Sullivan und fügt hinzu: „Die eigentlichen Opfer, auf die es die Malware-Akteure abgesehen haben, sind Unternehmen und Institutionen, die industrielle Anwendungen oder Maschinen entwickeln oder einsetzen. Die Mehrheit befindet sich in Europa, wobei wir zum bisherigen Zeitpunkt auch bei einem Unternehmen in Kalifornien beobachtet haben, dass Daten an einen C&C-Server gesendet werden. Von den in Europa ansässigen Organisationen handelt es sich um zwei wichtige Bildungseinrichtungen in Frankreich, zwei deutsche Hersteller von industriellen Anwendungen und Maschinen, einen französischen Maschinenhersteller und ein russisches Bauunternehmen.“
Bildquelle: 

F-Secure – Switch on freedom
F-Secure ist ein Online-Sicherheits- und Datenschutz-Unternehmen aus Finnland. Mit F-Secure sind Millionen von Menschen rund um den Globus in der Lage, unsichtbar zu surfen, Inhalte zu speichern und zu teilen und sind sicher vor allen Online-Bedrohungen. Wir sind hier, um für die digitale Freiheit zu kämpfen. Schließen Sie sich der Bewegung an und schalten Sie um auf Freiheit. F-Secure wurde 1988 gegründet und ist börsennotiert an der NASDAQ OMX Helsinki Ltd.

f-secure.de | twitter.com/fsecure_de | facebook.com/f-secureDE

F-Secure GmbH
Rüdiger Trost
Zielstattstraße 44
81379 München
+49 89 787 467-0
presse-de@f-secure.com
http://www.f-secure.de

Bite Communications GmbH
Miriam Kurek
Flößergasse 4
81369 München
+49 89 444.467-413
f-secure@bitecommunications.com
http://www.bitecommunications.com

Hasselwander-PR

PR-Neuigkeiten: Das individuelle Partnernetzwerk

Share
Published by
Hasselwander-PR

Recent Posts

10 Jahre Yasmin Mohr Osteopathie Bensheim

Yasmin-Mohr-OsteopathWas während der Physiotherapie-Ausbildung im Jahr 2002 als Begeisterung für die Osteopathie begann, entwickelte sich…

20 Stunden ago

IRIS begleitet Adaptive ML vom Seed-Investment zum Exit an Datadog

Europäischer VC investierte bereits 2024 – nur fünf Monate nach Gründung des KI-Start-ups. Adaptive ML…

1 Tag ago

AOC präsentiert: Gaming-Monitore CU34G4CA und CU34G4ZCA

180 / 250 Hz OC mit 90 W USB-C und KVM-Switch Amsterdam, 17. Juli 2026…

1 Tag ago

Human Quality Capital: Wiesbadener Führungsexpertin erhält höchste Auszeichnung für Zukunftsansatz im KI-Zeitalter

Warum Unternehmen künftig mehr in menschliche Reife investieren müssen – Platin-Auszeichnung für Ines Rauscher im…

2 Tagen ago

Stadt Dachau – vielfältiges Kultur- und Freizeitprogramm lädt zum Entdecken ein

Von spannenden Veranstaltungen bis hin zu kühlenden Orten zum Entspannen Biergarten am Wasserturm (Bildquelle: @…

2 Tagen ago

Buch Mitarbeiterbindung: Jetzt im Handel!

Der Nutzen von Mitarbeiterbindung für Retention Management, Arbeitgeberattraktivität, Performance Improvement Fachkräftemangel? Personalmangel? Hier sind die…

2 Tagen ago