Symantec deckt Cyberangriffe gegen Energiekonzerne auf
Symantec hat im Rahmen einer Untersuchung eine Cyberangriff-Kampagne gegen eine Reihe von Zielen im Energiesektor in Europa und den USA aufgedeckt. Auch die Schweiz ist involviert.
Im Rahmen einer neuen Untersuchung hat das amerikanische Softwareunternehmen Symantec eine Cyberspionageangriff-Kampagne gegen eine Reihe von Zielen im Energiesektor aufgedeckt. Dies gibt Symantec auf ihrer Website bekannt. Verantwortlich für die Angriffe sei eine Hackergruppe, die im Bericht unter dem Namen Dragonfly geführt wird.
Von der seit 2013 laufenden Angriffskampagne seien zum Beispiel Firmen in Deutschland, Spanien, USA, Frankreich, Italien, Türkei, Polen, Griechenland, Serbien und Rumänien betroffen. Bei den betroffenen Unternehmen handle es sich primär um Stromnetzbetreiber und grosse Stromkonzerne, Betreiberfirmen von Erdölpipelines sowie Hersteller von Produkten für den Strommarkt. Während in der Schweiz laut Symantec zwar keine gezielten Attacken mit Datenverlust nachgewiesen werden konnten, fand hier einer der weltweit drei Supply-Chain Hacks statt, bei dem ein Zulieferer der Energieindustrie erfolgreich attackiert worden war.
Bei ihren Angriffen ging die Gruppe Dragonfly laut Symantec äusserst professionell vor. Sie infiltrierte in einem ersten Schritt Software von Herstellern industrieller Steuerungssysteme mit einem speziellen Trojaner. Dieser ermöglichte der Gruppe Zugang zu den Systemen der Firmen via Fernsteuerung. Der Trojaner selbst und weiterer Schadcode gelangte über Softwareaktualisierungen zu den Energieunternehmen, was Dragonfly den Zugriff auf die Netzwerke und die Sabotageakte ermöglichte.
Daneben führte die Hackergruppe weitere Angriffe aus. Einerseits attackierte sie die Firmen via Pishing-Mails an ausgewählte Mitarbeiter, andererseits benutzte sie sogennante Watering-Hole-Attacken, bei denen Websites mit Schadcode infiziert wurden. Dragonfly gelang es mithilfe der verwendeten Schadcodes, Systeminformationen auszulesen, Dokumente zu lesen, Adressen aus Outlook oder die Konfigurationsdaten von VPN-Verbindungen einzusehen. Die Daten wurden dann laut Bericht von Symantec verschlüsselt und schliesslich an den Command-and-Control-Server der Hacker zurückgesendet.
Nachfolger von Stuxnet
Symantec schreibt im Bericht weiter, dass die Angriffskampagne "den Fussspuren von Stuxnet" folge. Dabei handelt es sich um eine bekannte Malwareangriffs-Serie, die ebenfalls industrielle Steuerungssysteme im Visier hatte und zwar diejenigen des iranischen Nuklearprogramms. Ziel war die Sabotage von ebendiesem. Im Gegensatz zu Stuxnet sind die Dragonfly-Angriffe breiter gestreut, sowohl was Zeit, als auch was Ziele anbelangt.
Wer ist Dragonfly?
Doch wer versteckt sich hinter dem ominösen Namen Dragonfly (deutsch: Libelle)? Grundsätzlich scheint dies nach wie vor unklar zu sein. Laut Symantec kann aber davon ausgegangen werden, dass die Basis der Hacker in Osteuropa, zum Beispiel in Russland, liegt. Die Gruppe sei auch unter dem Namen Energetic Bear bekannt und sei seit mindestens 2011 operativ. Nach einem ursprünglichen Fokus auf Flug- und Rüstungsfirmen habe ihr Interesse ab 2013 wie erklärt Energiefirmen gegolten. Aufgrund des hohen Grads an technischer Raffinesse der Attacken geht Symantec davon aus, dass die Hacker im Auftrag einer Regierung handelten – gemeint ist wohl diejenige Russlands, auch wenn das Land nicht explizit genannt wird.
Update: Googles KI-Videotool Veo 3 kommt in die Schweiz
Wie die Schweiz ihre digitalen Daten besser schützen kann
ETH-Spin-off Tinamu ernennt neuen CTO
E-ID als Katalysator für QES und den digitalen Wandel des Finanzwesens
OpenAI sichert sich massive Cloud-Kapazitäten von Oracle
Mobile Banking: Hätten Sie’s gerne einfach oder lieber kompliziert?
"Entscheider müssen sich überlegen, welches Cloud-Set-up sinnvoll ist"
Wie die BKB mit ADOGRC neue Standards in der Compliance setzt
Büsst man mit dem Multi-Cloud-Ansatz Datenhoheit ein?
