Eine neue Angriffswelle über mit Malware infizierte ICS (Industrielle Kontrollsysteme)/SCADA-Hersteller-Seiten haben Sicherheitsexperten von F-Secure entdeckt. Besonders Perfide: Für die im Stil einer so genannten Wasserloch-Attacke ausgeführten Angriffe haben die Kriminellen an sich legitime Downloads auf Webseiten von Herstellern aus dem ICS-Umfeld mit Trojanern infiziert. Ziel der Angriffe: Offenbar kommerzielle Spionage und die Übernahme von industriellen Kontrollsysteme.

F-Secure hat nach eigenen Angaben seit einem Jahr eine Hackergruppe überwacht, die hinter der Havex-Malware-Familie steht. In der Vergangenheit wurde ein Remote-Access-Trojaner (RAT) dazu benutzt, um Energiefirmen ins Visier zu nehmen, wie die Experten von Crowdstrike berichten.

In den letzten Monaten hat F-Secure 88 Havex-Varianten untersucht, sowie 146 C&C Server und 1500 IP-Addressen. Die Untersuchung hat ergeben, dass sich der Fokus der Hackergruppe zunehmend auf industrielle Kontrollsysteme richtet.

Die Hacker verbreiteten Havex – wenig überraschend – über Spam-E-Mails und durch Exploit-Kits. Raffiniert ist jedoch der Missbrauch von Schwachstellen in der Web-Software, die die Hersteller von ICS-Komponenten zur Pflege der Webseiten verwenden. Denn auf diesem Weg konnten die Angreifer die Downloads mit den Trojanern verseuchen und so direkt auf die Rechner der Kunden des Herstellers schleusen.

Von den drei infizierte Webseiten gehören zwei Anbietern von Remote-Management-Software für ICS-Systeme, die dritte gehört einem Anbieter von industriellen Kameras und der dazugehörigen Software.

F-Secure gab an, bei der Untersuchung eine Komponente gefunden zu haben, die Daten von infizierten ICS/SCADA-Systemen sammelnn. F-Secure schließt daraus, dass die Hacker nicht nur in solchen Systeme eindringen, sondern auch die Kontrolle übernehmen wollen. Alle Opfer solcher Angriffe seien mit der Entwicklung und Anwendung von industriellen Anwendungen oder Maschinen beschäftigt. Hinter dem Hacker-Angriff könnte auch ein staatlicher Auftrag stecken, der Spionage betreibt, vermutet Sean Sullivan von F-Secure. Details zu der Quelle des Angriffs sind aber noch nicht bekannt.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.