Westliche Energieversorger im Visier
Mehr Cyber-Angriffswellen auf westliche Energiekonzerne
Dragonfly wieder aktiv
Die Forscher von Symantec warnen vor neuen gezielten Angriffswellen auf westliche Energiekonzerne. Hinter den Angriffen steckt angeblich die Angreifer Gruppe Dragonfly, auch bekannt als Energetic Bear oder Crouching Yeti. Die Gruppe ist seit mindestens 2011 aktiv und war nach ihrer Enthüllung durch Symantec und andere Sicherheitsforscher im Jahre 2014 zunächst untergetaucht. Nach neuesten Erkenntnissen nehmen aber nun die gezielten Angriffs- und Sabotageversuche der sog. „Dragonfly 2.0“ auf westliche Energiekonzerne deutlich zu. Es wurden bereits erste Versuche unternommen, die Betriebssysteme von Energieunternehmen in Europa und den USA unter Kontrolle zu bringen oder sogar zu sabotieren.
Der Energiesektor ist in den vergangenen zwei Jahren zu einem interessanten Angriffsziel für Cyber-Angreifer geworden. Vor allem die Störungen des russischen Stromnetzes im Jahr 2015 und 2016 wurden solchen Cyber-Angriffen zugeschrieben und führten zu Stromausfällen, die Hunderttausende von Menschen betrafen.
In den vergangenen Monaten gab es dazu bereits Medienberichte über versuchte Angriffe auf die Stromnetze in einigen europäischen Ländern sowie auf Unternehmen, die kerntechnische Anlagen in den USA betreiben.
Angriffsziele in USA, Schweiz und Türkei
Laut Symantec gibt es überzeugende Hinweise auf die zunehmenden Angriffsaktivitäten auf Organisationen in den USA, der Türkei und in der Schweiz. Die USA und die Türkei gehörten auch zu den Ländern, die von Dragonfly in ihren früheren Kampagnen favorisiert wurden. In dieser neuen Kampagne hat allerdings der Fokus auf die Türkei dramatisch zugenommen.
Angriffsvektoren, Werkzeuge und Taktik
Wie bereits in den vorherigen Kampagnen zwischen 2011 und 2014, verwendet Dragonfly 2.0 eine Vielzahl von Infektionsvektoren um Zugang zu dem Opfer-Netzwerk zu erhalten, einschließlich Spear- Phishing, Watering Hole Attacks und Trojaner.
Im Juli hatte Cisco über E-Mail-basierte Angriffe auf den Energiesektor mit einem Toolkit namens Phishery gepostet. In einigen E-Mails, die in den neuen Kampagnen verwendet wurden, konnte die Nutzung des Phishery Toolkits (Trojan.Phisherly) nachgewiesen werden. Über dieses Toolkit können infizierte, individuelle Formulare erstellt werden, mit denen persönliche Anmeldeinformationen des Opfers abgegriffen werden. Dieses Toolkit wurde Ende 2016 auf GitHub allgemein zur Verfügung gestellt.
Neben den infizierten E-Mails verwenden die Angreifer Watering Hole Attacks, um Netzwerk-Anmeldeinformationen zu ernten, indem sie Webseiten kompromittierten, die wahrscheinlich von den potentiellen Opfern aus dem Energiesektors besucht werden. Die gestohlenen Anmeldeinformationen werden dann bei Folgeangriffen gegen die Zielorganisationen verwendet. In einem Fall wurde ein Backdoor.Goodor auf die Opfer-Maschine über PowerShell nach 11 Tage installiert, nachdem das Opfer einen der kompromittierten Server besucht hatte. Backdoor.Goodor bietet den Angreifern einen Fernzugriff auf die Maschine des Opfers.
Auch auf den Einsatz von kompromittierter legaler Software wird nicht verzichtet. In den Kampagnen 2016 und 2017 nutzte die Gruppe das Evasion Framework Shellter, um trojanisierte Anwendungen zu entwickeln. Insbesondere wurde Backdoor.Dorshel als eine trojanisierte Version der Standard-Windows-Anwendungen ausgeliefert.
Zudem gibt es Hinweise darauf, dass Dateien als maskierte Flash-Updates verwendet werden, um bösartigen Backdoors auf die Zielnetzwerke installieren zu können. Evtl. wird im Vorfeld über Social Engineering versucht, die Opfer dazu zu bringen ein Flash-Player Update herunterzuladen. Kurz nach den Analysen bestimmter URLs, wurde eine Datei namens "install_flash_player.exe" auf einigen Opferrechnern gefunden, bevor der Trojan.Karagany.B Backdoor installiert wurde.
In der Regel installieren die Angreifer ein oder zwei Backdoors auf den Opfer-Computer, um über Fernzugriff zusätzliche benötigte „Werkzeuge“ zu installieren. Goodor, Karagany.B und Dorshel sind Beispiele für verwendete Backdoors, zusammen mit Trojan.Heriplor.
Trojan.Heriplor ist eine Hintertür, die ausschließlich von Dragonfly verwendet wird und ist damit eines der stärksten Anzeichen dafür, dass die Gruppe, die den westlichen Energiesektor zwischen 2011 und 2014 anstrebte, die gleiche Gruppe ist, die hinter den jüngsten Angriffen steht. Diese benutzerdefinierte Malware ist nicht auf dem Schwarzmarkt verfügbar und wurde auch nicht bei der Verwendung durch andere Angriffsgruppen beobachtet. Das Backdoor wurde bisher nur für Angriffe auf Ziele im Energiesektor eingesetzt.
Nach Einschätzungen der Sicherheitsforscher handelt es sich bei Dragonfly um eine sehr gut ausgebildete und organisierte Gruppe, die in der Lage ist, zahlreiche Organisationen zu kompromittieren, Informationen zu stehlen und Zugang zu den Schlüsselsystemen zu erhalten. Eine Identifikation der Hintermänner wird vor allem durch die Taktik und der verwendeten Werkzeuge erschwert:
- Die Angreifer nutzen allgemein verfügbare Malware und "living off the land" -Tools wie PowerShell, PsExec und Bitsadmin Admin-Tools. Dies könnte auch Teil der Strategie sein, um die Zuordnung zu erschweren. Das Phishery Toolkit war ja bereits auf Github im Jahr 2016 verfügbar.
- Die Angreifer nutzen auch keine Zero-Day Exploits. Wie bei der Verwendung der öffentlich zugänglichen Instrumente, könnte dies auch ein Versuch sein, die Zuweisung bewusst zu vereiteln, oder es könnte auf einen Mangel an Ressourcen hindeuten.
- Einige Code-Strings in der Malware waren auf Russisch. Allerdings waren einige auch auf Französisch, was darauf hinweist, dass eine dieser Sprachen unter falscher Flagge genutzt wird.
Handlungsempfehlungen
- Dragonfly arbeitet vor allem mit gestohlenen Anmeldeinformationen, um ein Netzwerk zu kompromittieren. Wichtige Passwörter, wie solche mit hohen Privilegien, sollten mindestens 8-10 Zeichen lang (und vorzugsweise länger) sein und eine Mischung aus Buchstaben und Zahlen enthalten. Ermutigen Sie Benutzer, die Wiederverwendung der gleichen Passwörter auf mehreren Websites zu vermeiden. Das Teilen von Passwörtern mit anderen sollte verboten werden. Löschen Sie unbenutzte Anmeldeinformationen und Profile und begrenzen Sie die Anzahl der erstellten administrativen Ebenen. Verwenden Sie mind. die Zwei-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene bereitzustellen und zu verhindern, dass gestohlene Anmeldeinformationen von Angreifern verwendet werden.
- Setzen Sie auf mehrere, überlappende und gegenseitig unterstützende Verteidigungssysteme, um sich gegen „single point failures“ in einer bestimmten Technologie oder Sicherheitslösung zu schützen. Das sollte auch die Bereitstellung von regelmäßig aktualisierten Firewalls sowie Gateway Antivirus, Intrusion Detection oder Schutzsysteme (IPS), Website Vulnerability mit Malware-Schutz und Web Security Gateway-Lösungen im gesamten Netzwerk, beinhalten.
- Implementierung und Durchsetzung einer Sicherheitspolitik, bei der alle sensiblen Daten in Ruhe und im Transit verschlüsselt werden. Stellen Sie sicher, dass auch die Kundendaten verschlüsselt sind. Dies kann dazu beitragen, den Schaden durch potenzielle Datenlecks in einer Organisation zu verringern.
- Implementieren Sie einen SMB-Filter für den ausgehenden Traffic auf Perimeter-Geräten, um zu verhindern, dass der SMB-Verkehr Ihres Netzwerks ins Internet gelangt.
- Schulen Sie die Mitarbeiter auf die Gefahren, die von Spear-Phishing-E-Mails ausgehen.
- Setzten Sie auf proaktive und intelligente Erkennungssysteme.
Fazit:
Die Erkenntnisse sind alarmierend. Mögliche Folgen einer erfolgreichen Sabotage von Energieanlagen sind zum Beispiel großflächige Stromausfälle, totaler Zusammenbruch von Stromnetzen oder der Ausfall von wichtigen öffentlichen Versorgungseinrichtungen.