Mehrere US-Regierungsbehörden gaben am Mittwoch eine gemeinsame Warnung heraus, in der sie vor der Entdeckung bösartiger Cyber-Tools warnten, die von ungenannten fortgeschrittenen Bedrohungsakteuren entwickelt wurden und die ihrer Meinung nach in der Lage waren, „vollständigen Systemzugriff“ auf mehrere industrielle Kontrollsysteme zu erlangen.
Die öffentliche Warnung der Abteilungen für Energie und Heimatschutz, des FBI und der National Security Agency nannte weder die Namen der Akteure noch gab sie Einzelheiten zu dem Fund preis. Aber ihre Cybersicherheitspartner aus dem privaten Sektor sagten, die Beweise deuten darauf hin, dass Russland hinter den Tools steckt – und dass sie so konfiguriert wurden, dass sie zunächst auf nordamerikanische Energiebelange abzielen.
Eine der beteiligten Cybersicherheitsfirmen, Mandiant, sagte in einem Bericht, dass die Funktionalität der Tools „mit der Malware übereinstimmt, die bei früheren physischen Angriffen Russlands verwendet wurde“, obwohl sie einräumte, dass die Beweise, die sie mit Moskau in Verbindung bringen, „weitgehend Indizien“ seien.
Es nannte die Werkzeuge „außergewöhnlich selten und gefährlich“.
Der CEO eines anderen Regierungspartners, Robert M. Lee von Dragos, stimmte zu, dass ein staatlicher Akteur die Malware mit ziemlicher Sicherheit erstellt habe, die seiner Meinung nach ursprünglich so konfiguriert war, dass sie Flüssigerdgas- und Elektrizitätsstandorte in Nordamerika angreift.
Lee verwies Fragen zur Identität des staatlichen Akteurs an die US-Regierung und erklärte nicht, wie die Malware entdeckt wurde, außer zu sagen, dass sie „vor einem Angriffsversuch“ abgefangen wurde.
„Wir sind dem Gegner tatsächlich einen Schritt voraus. Keiner von uns möchte, dass sie verstehen, wo sie Fehler gemacht haben“, sagte Lee. “Großer Gewinn.”
Die Cybersecurity and Infrastructure Security Agency (CISA), die die Warnung veröffentlichte, lehnte es ab, den Bedrohungsakteur zu identifizieren.
Die US-Regierung hat kritische Infrastrukturindustrien gewarnt, sich auf mögliche Cyberangriffe aus Russland als Vergeltung für schwere Wirtschaftssanktionen zu rüsten, die Moskau als Reaktion auf seine Invasion in der Ukraine am 24. Februar auferlegt wurden.
Beamte haben gesagt, dass das Interesse russischer Hacker am US-Energiesektor besonders groß ist, und CISA drängte in einer Erklärung vom Mittwoch, besonders auf die in der Warnung empfohlenen Minderungsmaßnahmen zu achten. Letzten Monat gab das FBI eine Warnung heraus, wonach russische Hacker mindestens fünf namenlose Energieunternehmen auf Schwachstellen gescannt haben.
Lee sagte, die Malware sei „als Framework konzipiert worden, um viele verschiedene Arten von Branchen zu verfolgen und mehrfach genutzt zu werden. Basierend auf der Konfiguration wären die anfänglichen Ziele LNG und Elektro in Nordamerika“.
Mandiant sagte, die Werkzeuge stellten die größte Bedrohung für die Ukraine, NATO-Mitglieder und andere Staaten dar, die Kiew bei seiner Verteidigung gegen die russische Militäraggression unterstützen.
Die Malware könnte verwendet werden, um kritische Maschinen abzuschalten, industrielle Prozesse zu sabotieren und Sicherheitssteuerungen zu deaktivieren, was zur physischen Zerstörung von Maschinen führen könnte, die zum Verlust von Menschenleben führen könnte. Es verglich die Tools mit Triton, einer Malware, die auf ein Forschungsinstitut der russischen Regierung zurückgeführt werden konnte, die auf kritische Sicherheitssysteme abzielte und 2017 zweimal die Notabschaltung einer saudischen Ölraffinerie erzwang, und mit Industroyer, der Malware, die russische Militärhacker im Vorjahr zum Auslösen von a Stromausfall in der Ukraine.
Lee sagte, die neu entdeckte Malware mit dem Namen Pipedream sei erst die siebte derartige bösartige Software, die identifiziert wurde, die entwickelt wurde, um industrielle Steuerungssysteme anzugreifen.
Lee sagte, Dragos, das auf den Schutz industrieller Steuerungssysteme spezialisiert ist, habe seine Fähigkeiten Anfang 2022 im Rahmen seiner normalen Geschäftsforschung und in Zusammenarbeit mit Partnern identifiziert und analysiert.
Genauere Angaben wollte er nicht machen. Neben Dragos und Mandiant dankt die US-Regierung Microsoft, Palo Alto Networks und Schneider Electric für ihre Beiträge.
Schneider Electric ist einer der in der Warnung aufgeführten Hersteller, deren Geräte von der Malware betroffen sind. Omron ist ein anderer.
Mandiant sagte, es habe die Tools Anfang 2002 mit Schneider Electric analysiert.
In einer Erklärung sagte Wendi Whitmore, Geschäftsführerin von Palo Alto Networks: „Wir warnen seit Jahren, dass unsere kritische Infrastruktur ständig angegriffen wird. Die heutigen Warnungen zeigen, wie ausgeklügelt unsere Gegner geworden sind.“
Microsoft hatte keinen Kommentar.