crashoverride, crash override malware

Mit der Malware Crash Override gehen alle Lichter aus

Malware kann mehr anrichten als Geräte verschlüsseln und Lösegeld erpressen. Beispielsweise die Lichter einer ganzen Stadt ausschalten. Analysten bestätigen, dass eine neue Malware Stromnetze angreift. Diese Attacke war wahrscheinlich die erste von vielen weiteren, die noch folgen könnten.

Die Malware mit dem Namen Industroyer oder Crash Override tauchte erstmals Ende 2016 auf und schnitt etwa 700.000 Haushalten außerhalb von Kiew in der Ukraine von der Stromversorgung ab. Das ist noch die gute Nachricht. Die schlechte: Diese Malware kann das Stromnetz umgehen und böswillige Befehle an geschäftskritische Geräte ausgeben. Sobald die Geräte konfiguriert und genutzt werden, können sie ohne den Eingriff des Hackers ausgeschaltet werden.

SCADA im Scheinwerferlicht

Ziel dieses Angriffs waren mehrere SCADA-Protokolle, die in Europa verwendet werden. SCADA ist die Abkürzung für „Supervisory Control and Data Acquisition“. Mit einem SCADA-System werden die Hardware und Software für technische Industrieprozesse gesteuert. Als die Malware Crash Override aktiviert wurde, zirkulierte sie durch eine Reihe von Leistungsschaltern, um sie auszulösen. Dann wurde der Prozess wiederholt.

Malware mit dem Angriffsziel SCADA war keine große Überraschung. SCADA ist eine Schnittstelle zwischen manueller Steuerung und Mainframe-Computern und gilt bei Experten als „vom Konzept her unsicher“. Die Bemühungen, SCADA sicherer zu machen, waren so wirkungsvoll wie mit einem kleinen Teelicht einen großen dunklen Raum zu beleuchten.

Vor diesem Angriff erfolgte ein anderer Angriff auf ein Stromnetz durch einen Hacker – ebenfalls in der Ukraine. Seitdem konzentriert sich die Branche auf zwei Dinge: auf die Vermeidung solcher Angriffe und – noch wichtiger – darauf, möglichst schnell wieder online zu sein.

Hacker sind helle Köpfe

Es ist nicht bekannt, wer die Malware geschrieben hat. Einiges deutet aber auf Russland hin. Sicher ist, dass die Hacker intelligent waren. Sie haben keinen alten Code recycelt und keine digitalen Fingerabdrücke hinterlassen und sicherlich werden mehr Angriffe folgen. Für eine einmalige Verwendung wurden einfach zu viele Ressourcen eingesetzt, um diese Malware zu erstellen. Daher bleibt dieser Angriff bestimmt nicht der einzige Versuch. Die Malware besitzt außerdem weitere Features und Funktionen, die noch gar nicht aktiviert wurden. Experten vermuten sogar, dass der Angriff nur ein POC (Proof of Concept) war. Die Bugs der Schadsoftware werden nach dem ersten Angriff behoben und dann das eigentliche Ziel angegriffen.

Elektrifizierende Erkenntnisse

Für Laien sind Hochspannungssysteme sehr komplex und schwer zu verstehen. Es gibt jedoch drei Erkenntnisse aus diesem Angriff, die auch für Onlinenutzer gelten.

  1. Es kann jeden treffen: Seid euch bewusst, dass jeder angegriffen werden kann: Energieunternehmen, aber auch Privatnutzer.
  2. Seid auf Angriffe vorbereitet: Das Vermeiden von Angriffen oder Beheben der Schäden setzt voraus, dass ein Aktionsplan vorhanden ist. Dragos empfiehlt für diese Malware stabile Backups von Engineering-Dateien. Für den durchschnittlichen Computernutzer bedeutet das eine Kombination aus regelmäßiger Datensicherung, dem Nutzen einer Antivirensoftware und und stets aktueller Software.
  3. Seid wachsam: Verteidigt euer System. So lautet die letzte Zeile im Dragos-Bericht mit den Worten „Human defenders are required“. Dies trifft auch auf eure Onlinesicherheit zu. Die beste Waffe gegen Social Engineering oder benutzerdefinierte Phising-Angriffe seid ihr selbst.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.