Crashoverride und Industroyer gefährden Industrieanlagen

Aktuell veröffentlichten die beiden Sicherheits-Unternehmen ESET und Dragos Inc. ihre jeweilige Analyse der Schadsoftware Crashoverride, bzw. Industroyer. Trotz unterschiedlicher Bezeichnung beziehen sich beide Analysten auf den Stromausfall Ende 2016 in Kiew und Teilen der Ukraine und ordnen diesen als Cyberattacke ein.

Als größte Bedrohung für Industrieanlagen seit Stuxnet (der das iranische Atomprogramm maßgeblich gelähmt hatte) bezeichnen die ESET-Analysten Industroyer (kurz für Industry Destroyer). Besonders gefährlich ist die Software, weil sie auf einfachste Art für unterschiedliche Industriesysteme angepasst werden kann.

Robert M. Lee, ehemaliger Geheimdienstmitarbeiter und Gründer von Dragos, den wir bereits als Sicherheitsexperten auf der Heidelberger Troopers-Konferenz live erleben durften, definiert den Angriff in der Ukraine als Testlauf und befürchtet, dass mit entsprechendem Vorlauf auch größere Stromnetze auf der gesamten Welt lahmgelegt werden könnten.

Das Kernproblem der gesamten Thematik ist, dass die Steuerungssysteme oftmals aus einer Zeit stammen, in der die Anlagen weder untereinander vernetzt, noch ans Internet angeschlossen waren. Insofern existieren für diese Systeme und die dort verwendeten Protokolle  gar keine nativen Sicherheitsmechanismen.

Die Reports beider Sicherheitsfirmen haben wir zur Ansicht hinterlegt. Das ESET-PDF finden Sie hier. Die Unterlagen von Dragos haben wir hier bereitgestellt. Beide Abhandlungen sind in englischer Sprache verfasst und bieten tiefere Einsicht in den Aufbau des Angriffs und die Vorgehensweise der Angreifer. Hinweise zur Verteidigung stellt Dragos auf Seite 26 bereit.