Sicherheitsforscher haben eine Malware namens CosmicEnergy entdeckt und analysiert, die darauf ausgelegt ist, Strom-Netze zu stören. Über die Hintergründe ist noch wenig bekannt, man hat aber die russische Gruppe Sandworm als Urheber in Verdacht.
Sandworm gilt als eine der skrupellosesten Hackergruppen des Kremls. Von dieser Gruppe stammte beispielsweise die Industroyer-Malware, mit der im Dezember 2016 ein erfolgreicher Angriff auf die Ukraine durchgeführt wurde und einen massiven Stromausfall im Raum Kyjiw verursachte. Im letzten Jahr tauchte dann Industroyer2 auf, das mit gleichem Ziel arbeitete, aber rechtzeitig entdeckt und gestoppt wurde.
Die neue Malware CosmicEnergy scheint allerdings nicht direkt für neue Attacken gedacht zu sein. Sicherheitsforscher kamen laut Ars Technica nach Analysen zu dem Schluss, dass sie wohl eher für Trainingszwecke gedacht ist. Sie weist allerdings an verschiedenen Stellen markante Ähnlichkeiten zu Industroyer und auch den Vorgängern der BlackEnergy-Klasse auf.
Kein Grund zur Entwarnung
"Das Besondere an CosmicEnergy ist, dass es nach unserer Analyse von einem Auftragnehmer als Red-Team-Tool für simulierte Stromausfallübungen entwickelt worden sein könnte, die von Rostelecom-Solar, einem russischen Cybersicherheitsunternehmen, veranstaltet wurden", erklärte man seitens des Security-Unternehmens Mandiant. "Die Analyse der Malware und ihrer Funktionen zeigt, dass ihre Fähigkeiten mit denen früherer Vorfälle und Malwares vergleichbar sind."
In der Tatsache, dass es sich eher um eine Übungswaffe handelt, sehen die Forscher dabei allerdings keinen Grund zur Entwarnung - im Gegenteil. "Die Entdeckung CosmicEnergys zeigt, dass die Einstiegshürden für die Entwicklung offensiver Fähigkeiten immer niedriger werden, da die Akteure das Wissen aus früheren Angriffen nutzen, um neue Malware zu entwickeln", führte man aus.
Dass die Malware selbst nicht für Angriffe eingesetzt werden kann, zeigt sich allerdings daran, dass ihr die Komponenten fehlen, mit der sie in fremde Netzwerke eindringen und dort ihre Umgebung analysieren kann. Solche lassen sich allerdings problemlos nachrüsten, wenn es ernst wird. Die Malware selbst enthält außerdem fest kodierte Informationsobjektadressen, die typischerweise mit Stromleitungsschaltern oder Leistungsschaltern verbunden sind. Diese Zuordnungen müssten für einen spezifischen Angriff angepasst werden, da sie sich von Hersteller zu Hersteller unterscheiden.
Anmelden
Sicherheitsforscher haben eine Malware namens CosmicEnergy entdeckt und analysiert, die darauf ausgelegt ist, Strom-Netze zu stören. Über die Hintergründe ist noch wenig bekannt, man hat aber die russische Gruppe Sandworm als Urheber in Verdacht.
Sandworm gilt als eine der skrupellosesten Hackergruppen des Kremls. Von dieser Gruppe stammte beispielsweise die Industroyer-Malware, mit der im Dezember 2016 ein erfolgreicher Angriff auf die Ukraine durchgeführt wurde und einen massiven Stromausfall im Raum Kyjiw verursachte. Im letzten Jahr tauchte dann Industroyer2 auf, das mit gleichem Ziel arbeitete, aber rechtzeitig entdeckt und gestoppt wurde.