Symantec Security Response: Westliche Energieunternehmen durch Dragonfly-Sabotage bedroht

Eine bereits seit geraumer Zeit geführte Cyber-Spionagekampagne gegen eine Reihe von Zielen – vor allem im Energiesektor – eröffnete Angreifern die Möglichkeit, Sabotageakte gegen ihre Opfer zu begehen. Dieser von Symantec als Dragonfly bezeichneten Hacker-Gruppe gelang es, zahlreiche strategisch wichtige Unternehmen zu infiltrieren, um sie auszuspionieren. Die Angriffe verschafften ihnen auch die Möglichkeit, die Infrastruktur zu sabotieren, was – hätten sie dieses Potenzial ausgenutzt – zu erheblichen Störungen der Energieversorgung in den betroffenen Ländern geführt hätte.

Zu den Zielen von Dragonfly gehörten die Betreiber von Energienetzen und Pipelines sowie große Stromerzeuger und Industrieausrüster für die Energiewirtschaft. Angriffe zielten vor allem auf Unternehmen in den USA, Spanien, Frankreich, Italien, Deutschland und Polen sowie in der Türkei ab.

Die Dragonfly-Gruppe verfügt über ausreichende Ressourcen, darunter eine Auswahl an Malware-Tools. Außerdem ist sie in der Lage, verschiedene Übertragungswege für ihre Angriffe zu nutzen. Bei ihrem bisher größten Angriff konnten sie zahlreiche Hersteller industrieller Steuerungssysteme (Industrial Control System, kurz ICS) infiltrieren, indem sie einen Trojaner mit Remote-Zugriffsfunktionen in die Software dieser Hersteller einschleusten. Beim Herunterladen von Software-Updates für Computer mit industriellen Steuerungssystemen installierten Unternehmen die Malware auf ihren Systemen. Angreifer erhielten damit nicht nur ein Einfallstor in die Netzwerke der anvisierten Unternehmen, sondern auch die Möglichkeit, Sabotageakte gegen infizierte ICS-Computer zu führen.

Diese Kampagne scheint in die Fußstapfen von Stuxnet zu treten. Stuxnet war die erste bekannt gewordene groß angelegte Malware-Kampagne, die gezielt auf ICS-Systeme abzielte. Allerdings war Stuxnet ganz gezielt gegen das iranische Nuklearprogramm gerichtet und das Hauptziel war Spionage. Die Interessen von Dragonfly sind breiter gefächert. Aktuell stehen Spionage und der längerfristige Zugriff auf Systeme an erster Stelle, mit Sabotage als Option, auf die sie zurückgreifen können.

Neben der Einschleusung von Malware in ICS-Software nutzte Dragonfly noch weitere Methoden, um Unternehmen gezielt zu infizieren: Spam-E-Mail-Kampagnen und Watering Hole-Angriffe. Die Gruppe setzt hauptsächlich zwei Malware-Tools ein: Backdoor.Oldrea und Trojan.Karagany. Ersteres scheint ein speziell für diesen Zweck entwickeltes Malware-Programm zu sein, das für die Angreifer oder von den Angreifern selbst programmiert wurde.

Vor der Veröffentlichung informierte Symantec betroffene Kunden und zuständige Behörden wie Computer Emergency Response Center (CERT), die sich mit Sicherheitsvorfällen im Internet befassen und mit entsprechenden Maßnahmen darauf reagieren.

Hintergrund
Die Dragonfly-Gruppe, die von anderen Anbietern auch als Energetic Bear bezeichnet wird, scheint seit 2011 aktiv zu sein, möglicherweise aber auch schon länger. Dragonfly attackierte zunächst Verteidigungs- und Luftfahrtunternehmen in den USA und Kanada, bevor sie dann Anfang 2013 auf die Energiebranche mit Schwerpunkt USA und Europa umschwenkte.

Die gegen den europäischen und amerikanischen Energiesektor gerichtete Kampagne wurde sehr schnell ausgeweitet. Zunächst verschickte die Gruppe mit Malware infizierte Phishing E-Mails an Mitarbeiter in anvisierten Unternehmen. Später erweiterten sie ihr Angriffsarsenal mit Watering Hole-Angriffen, indem sie Websites infizierten, bei denen die Wahrscheinlichkeit bestand, dass sie von Mitarbeitern in der Energiewirtschaft besucht wurden. Diese wurden dann zu Websites mit einem Exploit-Kit umgeleitet. Dieses Exploit-Kit lud dann Malware auf den Computer des Opfers herunter. Die dritte Phase der Kampagne war die Einschleusung eines Trojaners in legitime Softwarepakete, die zu drei Herstellern von industriellen Steuerungssystemen gehörten.

Es gibt Hinweise darauf, dass Dragonfly im Auftrag einer Regierung handelt. Die Gruppe arbeitet auf einem hohen technischen Niveau und ist in der Lage, mehrere Taktiken für ihre Attacken zu nutzen sowie in deren Verlauf zahlreiche Websites Dritter zu infizieren. Dragonfly hat zahlreiche Unternehmen im Energiesektor über einen längeren Zeitraum hinweg attackiert. Hauptmotiv scheint Cyber-Spionage zu sein, mit dem Potenzial für Sabotage als klar umrissenes zweitrangiges Ziel.

Aus der Analyse der Kompilierungszeitstempel für die von den Angreifern verwendete Malware geht hervor, dass die Gruppe meist von Montag bis Freitag arbeitete. Ihre Aktivitäten konzentrierten sich zu den Bürozeiten von 9 bis 18 Uhr in der UTC +4 Zeitzone. Diese Informationen lassen darauf schließen, dass die Angreifer in Osteuropa ansässig sind.

Die zehn am stärksten von Infektionen betroffenen Länder (in denen Angreifer Informationen von infizierten Computern stahlen)

Angriffs-Tools
Dragonfly setzt hauptsächlich zwei Malware-Komponenten bei Angriffen ein. Bei beiden Malware-Arten handelt es sich um Programme für den Remote-Zugriff (Remote Access Tool, RAT), mit denen Angreifer auf infizierte Computer zugreifen und diese steuern können. Das am häufigsten von Dragonfly eingesetzte Malware-Tool ist Backdoor.Oldrea, das auch unter dem Namen Havex oder Energetic Bear RAT bekannt ist. Oldrea öffnet den Angreifern eine Hintertür auf dem Computer des Opfers, über die sie Daten abgreifen und weitere Malware installieren können.

Oldrea scheint eine speziell entwickelte Malware zu sein, die von der Gruppe selbst oder für die Gruppe programmiert wurde. Dies gibt einen Hinweis auf die Fähigkeiten und Ressourcen, die der Dragonfly-Gruppe zur Verfügung stehen.

Sobald Oldrea auf dem Computer eines Opfers installiert ist, sammelt es Systeminformationen und stellt Listen mit Dateien, installierten Programme und dem Stammverzeichnis der verfügbaren Treiber zusammen. Außerdem extrahiert Oldrea Daten aus dem Outlook-Adressbuch und den VPN-Konfigurationsdateien des Computers. Diese Daten werden verschlüsselt in eine temporäre Datei geschrieben und anschließend an einen entfernten Command-and-Control-Server gesendet, der von den Angreifern kontrolliert wird.

Die meisten dieser Command-and-Control-Server werden anscheinend auf infizierten Servern gehostet, auf denen Inhaltsverwaltungssysteme ausgeführt werden. Dies deutet darauf hin, dass sich die Angreifer über dieselbe Sicherheitslücke Zugang zu den einzelnen Servern verschafft haben. Oldrea verfügt über eine einfache Systemsteuerung, über die ein authentifizierter Benutzer eine komprimierte Version der gestohlenen Daten separat für jedes Opfer herunterladen kann.

Das zweite wichtige Tool, das Dragonfly einsetzt, ist Trojan.Karagany. Karagany wurde – anders als Oldrea – in Untergrundforen angeboten. Der Quellcode für Version 1 von Karagany ist seit 2010 bekannt. Symantec geht davon aus, dass Dragonfly diesen Quellcode möglicherweise für seine eigenen Zwecke modifiziert hat. Diese Version wird von Symantec als Trojan.Karagany!gen1 erkannt.

Karagany kann gestohlene Daten hochladen, neue Dateien herunterladen und ausführbare Dateien auf einem infizierten Computer ausführen.  Außerdem ist es in der Lage, weitere Plugins zu starten, beispielsweise Tools, mit denen auf infizierten Computern Kennwörter abgegriffen, Bildschirmabbildung aufgenommen und Dokumente katalogisiert werden können.

Symantec hat festgestellt, dass der Großteil der angegriffenen Computer mit Oldrea infiziert wurde. Karagany war nur an zirka fünf Prozent der Infektionen beteiligt. Beide Malware-Programme ähneln sich in ihrer Funktionsweise. Es ist nicht bekannt, warum die Angreifer eines der beiden Tools bevorzugt einsetzen.

Symantec Security Response: Von der Dragonfly Gruppe attackierte Unternehmen in Westeuropa nach Ländern

Mehrere Angriffspfade
Die Dragonfly-Gruppe hat mindestens drei Infizierungstaktiken für Angriffe auf Ziele im Energiesektor verwendet. Die zuerst eingesetzte Methode waren Spam-E-Mails, die an bestimmte Führungskräfte und leitende Angestellte in anvisierten Unternehmen gerichtet waren und einen bösartigen PDF-Anhang enthielten. Die infizierten E-Mails wurden mit einer dieser beiden Betreffzeilen verschickt: „The account“ oder „Settlement of delivery problem“. Sämtliche E-Mails stammten von derselben Gmail-Adresse.

Die Spam-Kampagne startete im Februar 2013 und dauerte bis Juni 2013. Symantec hat sieben Unternehmen identifiziert, die Ziel dieser Kampagne waren. Die Anzahl der an die einzelnen Unternehmen verschickten E-Mails war unterschiedlich. Sie reichte von einer E-Mail bis zu 84 E-Mails.

Danach konzentrierten sich die Angreifer auf Watering Hole-Angriffe. Sie infizierten eine Reihe von Websites zu Energiethemen und injizierten iFrame-Code in die Websites, der Besucher zu einer anderen legitimen Website umleitete, auf der der Lightsout Exploit Kit gehostet wurde. Lightsout nutzt Sicherheitslücken in Java oder Internet Explorer aus, um Oldrea oder Karagany auf dem Computer des Opfers zu installieren. Die Tatsache, dass die Angreifer mehrere legitime Websites für die einzelnen Phasen dieser Kampagne infizierten, ist ein weiterer Hinweis darauf, dass die Gruppe über hochentwickelte technische Fähigkeiten verfügt.

Ab September 2013 setzte Dragonfly eine neue Version dieses Exploit-Kit ein, das unter dem Namen Hello Eploit Kit bekannt ist. Die Landing Page für dieses Kit enthält JavaScript, das einen Fingerabdruck des Systems erstellt und installierte Browser-Plugins identifiziert. Das Opfer wird dann zu einer URL umgeleitet, die wiederum aufgrund der gesammelten Informationen feststellt, welche Sicherheitslücke sich am besten für einen Angriff eignet.

Trojanisierte Software
Der bisher ambitionierteste Angriff von Dragonfly war die Infizierung einer Reihe legitimer Softwarepakete. Dazu wurden drei Hersteller von industriellen Steuerungssystemen ins Visier genommen und die Softwarepakete, die sie auf ihren Websites zum Download bereitstellen, mit Malware infiziert. Alle drei Unternehmen sind Hersteller von Anlagen für verschiedene Industriezweige, darunter auch für die Energiewirtschaft.

Die erste identifizierte trojanisierte Software war ein Produkt für den VPN-Zugriff auf speicherprogrammierbare Steuerungsgeräte. Der Hersteller entdeckte den Angriff kurz nach seinem Beginn. Allerdings war zu  die infizierte Software diesem Zeitpunkt bereits 250 Mal heruntergeladen worden.

Das zweite infizierte Unternehmen war ein europäischer Hersteller für spezialisierte speicherprogrammierbare Steuerungsgeräte. In diesem Fall wurde ein Softwarepaket infiziert, das einen Treiber für eines seiner Geräte enthielt. Symantec schätzt, dass die trojanisierte Software im Juni und im Juli 2013 mindestens sechs Wochen lang herunterladbar war.

Das dritte Opfer war ein europäisches Unternehmen, das Systeme für die Verwaltung von Windkraftanlagen, Biogasanlagen und andere Bereiche der Energieinfrastruktur entwickelt. Symantec geht davon aus, dass die infizierte Software im April 2014 zirka zehn Tage lang als Download verfügbar war.

Die Dragonfly-Gruppe ist technisch versiert und in der Lage, strategisch zu denken. Angesichts der Größe einiger ihrer Ziele hat die Gruppe eine Achillesferse gefunden, indem sie ihre Angriffe gegen deren Zulieferer richtet, bei denen es sich ausnahmslos um kleinere, weniger geschützte Unternehmen handelt.

Schutz
Symantec verfügt über folgende Erkennungssignaturen, die Kunden vor der in diesen Angriffen verwendeten Malware schützen:

Antivirus-Erkennungen

Angriffsschutzsignaturen

Weitere technische Informationen zu den Dragonfly-Angriffen können Sie in unserem Whitepaper nachlesen (siehe auch im Anhang dieses Beitrags).

Quelle: Symantec Security Response Team Weblog

Über Symantec
Symantec unterstützt als Experte für Informationsschutz Anwender, Unternehmen und Regierungen dabei, die Möglichkeiten neuer Technologien jederzeit und überall zu ihrem Vorteil zu nutzen. Gegründet im April 1982 und ein Fortune 500-Unternehmen, betreibt Symantec eines der weltweit größten Data Intelligence Netzwerke und stellt führende Sicherheits-, Backup- und Availability-Lösungen überall dort bereit, wo sensible Informationen gespeichert, zugänglich gemacht und geteilt werden. Für das Unternehmen sind mehr als 20.000 Beschäftigte in mehr als 50 Ländern tätig. 99 Prozent der Fortune 500-Firmen sind Kunden von Symantec. Im Fiskaljahr 2013 verzeichnete das Unternehmen Einkünfte von 6,9 Milliarden US Dollar. Erfahren Sie mehr unter www.symantec.de