GreyEnergy bedroht Kritische Infrastrukturen

Alessandro Di Pinto nimmt Stellung zu Malware-Entdeckung durch ESET

[datensicherheit.de, 27.02.2019] Alessandro Di Pinto, „Security Researcher“ bei Nozomi Networks, geht in seiner aktuellen Stellungnahme auf die Bedrohung Kritischer Infrastrukturen (KRITIS) durch „GreyEnergy“ ein.

Phishing als Basis der weltweit ersten KRITIS-Attacke

„Im Dezember 2015 saßen rund 230.000 Ukrainer plötzlich im Dunkeln. Die Folge einer erfolgreichen Cyber-Attacke auf die Stromversorgung des Landes“, berichtet Di Pinto. Dieser Angriff gelte allgemein als die weltweit erste Attacke auf sogenannte Kritische Infrastrukturen. Forscher hätten recht schnell herausgefunden, wie sich die Eindringlinge Zutritt ins Netzwerk hätten verschaffen können.
„Sie nutzten eine altbekannte, aber weiterhin ausgesprochen erfolgreiche Methode: Phishing. Der Angriff machte damals weltweit Schlagzeilen und wurde der ,BlackEnergy‘-Gruppe zugeschrieben, die sich auf ,Advanced Persistent Threats‘ (APT) spezialisiert hat“, so Di Pinto.

Neue Malware zur Attacke auf KRITIS entdeckt

„Fast fünf Jahre später sieht es jetzt so aus, als wäre ,BlackEnergy‘ wieder aufgetaucht, wenn auch unter einem anderen Namen. Im Oktober letzten Jahres veröffentlichten Sicherheitsexperten des slowakischen Anbieters ESET, dass sie eine neue Malware nachweisen konnten, die sich ebenfalls gegen Kritische Infrastrukturen richtet. Sie gaben sowohl der Gruppe als auch der Schadsoftware selbst den Namen ,GreyEnergy‘“.
Nach Aussagen von ESET handele es sich bei „GreyEnergy“ um den Nachfolger von „BlackEnergy“. Bisher beschränke sich die Malware auf Angriffe gegen KRITIS in der Ukraine und in Polen, wo sie in den letzten drei Jahren aktiv gewesen sei.

GreyEnergy: einige Detail-Erkenntnisse

Nach der erstmaligen Aufdeckung dieser Malware hätten Sicherheitsexperten damit begonnen, „GreyEnergy“ zu analysieren. „Insbesondere wollte man verstehen, wie die Schadsoftware überhaupt in die Systeme gelangt und wie es den Hackern gelungen ist, die Spuren der Malware solange zu verwischen. Was den Eintritt ins Netzwerk anbelangt, nutzte ,GreyEnergy‘ eine altbekannte, aber immer noch höchst erfolgreiche Methode sich Zutritt in ein Netzwerk zu verschaffen, nämlich Phishing. Einmal im System stellte sich aber schnell heraus, dass der zugrundeliegende Malware-Code alles andere als durchschnittlich ist.“ Er sei nicht nur gut geschrieben, sondern auch ausgesprochen klug zusammengebaut. Di Pinto: „Und er wurde ganz gezielt entwickelt, um die Maßnahmen von Cyber-Sicherheitslösungen zu umgehen.“
Die „GreyEnergy“-Attacke beginnt demnach mit einem manipulierten „Word“-Dokument im E-Mail-Eingang des Empfängers. Der Text sei in ukrainischer Sprache verfasst – und auf den ersten Blick wirke das Dokument äußerst verdächtigt: „Nicht nur, dass es Bilder enthält, es erscheint auch ein klar ersichtlicher Hinweis oben auf der Benutzerseite, der vor in diesem Dokument enthaltenen Makros warnt. Trotzdem und trotz der verdächtigen Bilder haben neugierige Benutzer sich offensichtlich dennoch täuschen lassen und auf den ,Inhalte ausführen‘-Button geklickt. Und genau damit haben sie die ,GreyEnergy‘-Malware auf das jeweilige System heruntergeladen.“
Auch, wenn sich die Angreifer mit einer vergleichsweise simplen Methode Zutritt ins Netzwerk verschafft hätten, seien die ausgewählte Tools und Taktiken alles andere als trivial. Sie seien ausgesprochen klug zusammengestellt worden, um die Anwesenheit der Malware im System zu verschleiern und auf dem Radar der betreffenden Sicherheitslösungen unbemerkt zu bleiben. So verwendeten die Akteure beispielsweise benutzerdefinierte Algorithmen, die an sich relativ einfach auszuschalten seien. „Allerdings sind sie widerstandsfähig genug, um die Schadsoftware vor der Aufdeckung zu schützen. Das ist aber noch nicht alles. Die Angreifer bedienen sich eines ganzen Arsenals von anti-forensischen Techniken“, erläutert Di Pinto. Eine davon sei beispielsweise das Verwischen von „In-Memory“-Strings, das dazu diene, die Anwesenheit der Malware zu verschleiern und dafür zu sorgen, dass die Infektion so lange wie möglich nicht bemerkt wird.
Die Forscher hätten noch mehr herausgefunden: So habe der Dropper, „ein kleines Stückchen Code, das als eigenständig ausführbare Datei dazu dient, die Malware im System des Opfers freizusetzen, in diesem Fall eine besondere Fähigkeit“. Er überlebe nämlich einen kompletten Neustart des gesamten Systems. Auf diese Art könne sich die Bedrohung dauerhaft im Netzwerk einnisten und sei dort nur sehr schwer wieder zu entfernen.

Schutz vor zukünftigen „GreyEnergy“-Varianten

Die Analyse der „GreyEnergy“-Malware habe gezeigt, dass die Angreifer ihre Werkzeuge und Taktiken wohlüberlegt kombiniert hätten und die Malware deshalb über einen sehr langen Zeitraum von Cyber-Sicherheitslösungen unbemerkt im Netzwerk habe verbleiben können. Einige Komponenten des „GreyEnergy“-APT seien inzwischen veröffentlicht und würden von Sicherheitsprodukten erkannt. Man dürfe allerdings sicher sein, dass es nicht lange dauern werde, bis die Angreifer neue Varianten der Malware entwickelten. „Es ist sogar ziemlich wahrscheinlich, dass sie gerade dabei sind, solche Varianten zusammenzustellen und diese möglicherweise sogar schon einsatzbereit sind.“
Es gebe allerdings auch gute Nachrichten: Der aktuelle „GreyEnergy“-Angriff beginne mit einer Phishing-E-Mail. Genau an dieser Stelle seien Unternehmen in der Lage, die Attacke zu verhindern. Auch vor potenziellen APT-Varianten von „GreyEnergy“ schützten gängige Sicherheitspraktiken, „wenn man sie nur konsequent anwendet“.

Di Pintos drei Empfehlungen für Unternehmen:

1. Schulen Sie Ihre Mitarbeitenden zu den Gefahren von Phishing-Mails, trainieren Sie wie man solche Nachrichten und ihre schädlichen Anhänge erkennen kann, und weisen Sie unbedingt darauf hin wie wichtig es ist, die IT-Sicherheitsabteilung über verdächtige Dokumente zu informieren.
2. Spielen Sie unbedingt sämtliche der aktuellen Sicherheits-Patches auf den gefährdeten Servern ein.
3. Und schließlich das Allerwichtigste: KRITIS-Netzwerke sollten mit genau darauf zugeschnitten Sicherheitslösungen ununterbrochen überwacht werden – nur dann ist es möglich, Bedrohungen frühzeitig und sogar vorausschauend im Netzwerk aufzudecken.

Grundsatz „erst denken, dann klicken“ weiter aktuell

„GreyEnergy“ habe einmal mehr gezeigt, dass Angreifer nach wie vor Phishing als Mittel nutzten, um KRITIS ins Visier zu nehmen. Deshalb sei es so immens wichtig, Mitarbeiter dahingehend zu schulen. „Es klingt wie eine Binsenweisheit, niemals auf einen Link zu klicken oder Anhänge zu öffnen, wenn die betreffende E-Mail aus einer unbekannten Quelle stammt.“
Im Moment sehe es aber ganz und gar nicht danach aus, als ob Hacker in ihren Bemühungen nachlassen würden. Der Grundsatz „erst denken, dann klicken“ hilft laut Di Pinto auch gegen diesen Typ von Attacken.

Weitere Informationen zum Thema:

NOZOMI NETWORKS, Alessandro Di Pinto, 12.02.2019
GreyEnergy Malware Research Paper: Maldoc to Backdoor

datensicherheit.de, 18.02.2019
KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen

datensicherheit.de, 16.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen