heise Security

ICS-CERT berichtet von Viren-Infektionen bei US-Stromversorgern

Kristina Beer

Das US-amerikanische Computer Emergency Response Team (US-CERT [1]) berichtet in seinem aktuellen ICS-CERT Monitor [2] von gleich zwei Viren-Infektionen bei US-amerikanischen Stromversorgern im letzten Quartal 2012. In beiden Fällen wurden industrielle Steuerungsanlagen über USB-Sticks infiziert. Die Schädlinge verursachten unter anderem den mehrwöchigen Ausfall eines Elektrizitätswerks.

Im ersten Fall stellte ein Mitarbeiter, der routinemäßig Kontrollsysteme wartete, fest, dass sein hierfür genutzter USB-Stick nicht mehr richtig zu funktionieren schien. Als zur Hilfe gerufene IT-Mitarbeiter den Stick an einem Computer mit aktueller Antivirensoftware testeten, wurden direkt drei Schädlinge angezeigt. Einer der Funde soll stark an eine bereits "bekannte hochentwickelte Schadsoftware" erinnert haben. – Die Beschreibung passt zu dem Wurm Stuxnet [3], der Industriebbetriebe im Iran, darunter auch einen Stromversorger in der Provinz Hormozgan, sabotierte. Um welche Schadsoftware es sich aber genau handelte, gibt der Bericht nicht preis. Der betroffene Stromerzeuger wandte sich letztlich mit einer Meldung an den Industrial Control System-CERT (ICS-CERT) des US-CERT, der die auch betroffenen Ingenieurs-Rechner von der Schadsoftware befreite. Bei diesen war die Rettung besonders heikel, da keine Backups existierten und ein möglicher Ausfall der Systeme den Betrieb "deutlich beeinträchtigt" hätte.

Im zweiten Fall waren Maschinen in einem Elektrizitätswerk durch den USB-Stick eines externen Mitarbeiters infiziert worden, der nichts von den Schädlingen gewusst haben soll. Das ICS-CERT spricht in diesem Fall von "Crimeware", die die Geräte störte. Bis das Elektrizitätswerk wieder ans Netz gehen konnte, dauerte es mehr als drei Wochen.

Das ICS-CERT untersucht die Anfälligkeit von Industrieanlagen für Angriffe aus dem Internet seit längerer Zeit [4] genauer. Unter anderem wird im aktuellen "Monitor" auf das schon länger andauernde "Project Shine" hingewiesen, welches über die frei zugängliche Suchmaschine Shodan [5] Zahlen zu ungesicherten Geräten mit SCADA [6] und anderen Steuerungssystemen ermittelt. Die Forscher fanden bereits über 500.000 potentiell anfällige, über das Netz zugängliche, Geräte. Bei genaueren Untersuchungen konnten sie die Zahl für die USA nun auf 7.200 anfällige Maschinen reduzieren. Über 100 andere Länder, in denen durch das Projekt gefährdete Geräte erfasst wurden, haben Warnungen von "Project Shine" erhalten. (kbe [7])


URL dieses Artikels:
https://www.heise.de/security/meldung/ICS-CERT-berichtet-von-Viren-Infektionen-bei-US-Stromversorgern-1781857.html

Links in diesem Artikel:
  [1] http://en.wikipedia.org/wiki/United_States_Computer_Emergency_Readiness_Team
  [2] http://www.us-cert.gov/control_systems/pdf/ICS-CERT_Monthly_Monitor_Oct-Dec2012.pdf
  [3] https://www.heise.de/security/meldung/Verwirrung-um-angebliche-Stuxnet-Attacke-im-Iran-1774486.html
  [4] https://www.heise.de/security/meldung/ICS-CERT-warnt-vor-Angriffen-auf-industrielle-Steuerungssysteme-1738902.html
  [5] http://www.shodanhq.com/
  [6] http://de.wikipedia.org/wiki/Supervisory_Control_and_Data_Acquisition
  [7] mailto:kbe@heise.de