Raffinerie - © Foto: Getty Images / MyLoupe/UIG
International

Tödlicher Code

1945 1960 1980 2000 2020

Im World Wide Web tickt eine Zeitbombe: die Schadsoftware Triton. Experten halten sie für gefährlicher als den Computerwurm Stuxxnet.

1945 1960 1980 2000 2020

Im World Wide Web tickt eine Zeitbombe: die Schadsoftware Triton. Experten halten sie für gefährlicher als den Computerwurm Stuxxnet.

Am 4. August 2017 gingen in einer Petrochemie-Anlage in Saudi-Arabien die Lichter aus. Die Computer stürzten ab, die Anlagen ließen sich nicht mehr regulieren. Hacker waren in die Systeme eingedrungen und übernahmen die Kontrolle über Steuereinheiten. Das Ziel der Angreifer war es nicht, die Anlage zu sabotieren. Sie wollten den Industriekomplex am Roten Meer, wo jedes Jahr fünf Millionen Tonnen Chemikalien produziert werden, in die Luft jagen. Nur zwei Notfallsysteme, die unmittelbar nach der Cyberattacke ansprangen, sowie ein Fehler im Code der Malware konnten eine Explosion verhindern.

Am 4. August 2017 gingen in einer Petrochemie-Anlage in Saudi-Arabien die Lichter aus. Die Computer stürzten ab, die Anlagen ließen sich nicht mehr regulieren. Hacker waren in die Systeme eingedrungen und übernahmen die Kontrolle über Steuereinheiten. Das Ziel der Angreifer war es nicht, die Anlage zu sabotieren. Sie wollten den Industriekomplex am Roten Meer, wo jedes Jahr fünf Millionen Tonnen Chemikalien produziert werden, in die Luft jagen. Nur zwei Notfallsysteme, die unmittelbar nach der Cyberattacke ansprangen, sowie ein Fehler im Code der Malware konnten eine Explosion verhindern.

Cybersicherheitsexperten, die den Angriff untersuchten, endeckten eine hochkomplexe Schadsoftware: Triton, benannt nach dem Sicherheitssystem Triconex, die es attackierte. Der amerikanische IT-Experte Phil Neray, der mit seinen Kollegen eine Anatomie der Malware erstellte, geht davon aus, dass der Angriff minutiös geplant war und in mehreren Schritten erfolgte. Zunächst erlangten die Angreifer die Kontrolle der industriellen Steuerungssysteme, die es ihnen erlaubte, eine Art Cyberspionage durchzuführen. Wie genau dieser Angriff ablief, ist unklar. Meist lancieren Angreifer eine Phishing-Attacke, um mit gefälschten E-Mails an die Passwörter zu gelangen. Als nächstes nutzten die Angreifer eine Sicherheitslücke im Betriebssystem Windows, worauf die Rechner liefen. Die Hacker bekamen Informationen über Betriebsabläufe und Modellnummern – und konnten so ihr Angriffsziel genau lokalisieren. Schließlich schleusten die Angreifer einen Trojaner in die Firmware ein, um Zugriff auf Steuerelemente wie Druckventile oder Abstellhähne zu erlangen.

Teheran oder Moskau?

Die Forscher vermuten, dass die Attacke möglicherweise nur ein Testlauf für eine viel größer angelegte Aktion war. „Wir spekulieren, dass der Zweck der Attacke darin bestand, das Sicherheitssystem auszuschalten, um die Grundlage für eine zweite Cyberattacke zu legen, die katastrophale Schäden an der Anlage selbst verursacht hätte – was möglicherweise große Umweltschäden und den Verlust von Menschenleben zur Folge gehabt hätte“, schreiben die Forscher in ihrer Analyse. Bei einem Austreten giftiger Gase wie Schwefelwasserstoff und ungünstigen Windverhältnissen wären womöglich auch die Großstädte Mekka und Medina betroffen gewesen. Die Experten sind sich sicher: Das waren keine Laien, sondern Profis mit viel Know-how, die im Auftrag oder auf Geheiß einer staatlichen Regierung handelten.

Die Angreifer testeten die Malware im laufenden Betrieb, um sie für Antivirenprogramme unerkennbar zu machen. Das erfordert präzise Kenntnisse der Firmware. Die Angreifer müssen dieselbe Soft- und Hardware in ihren Laboren wie in der Chemiefabrik gehabt und den Hack geprobt haben – daran haben die Forscher keine Zweifel. Ob dieses geheime Wissen aus einer Industriespionage gewonnen wurde oder die Hacker die Teile aus dem Darknet beschafften, lassen die Analysten offen. Fakt ist: Das Vorgehen zeugt von einer Professionalität, wie man sie nur von staatlichen Angriffen kennt.

2010 schleusten die USA und Israel den Computerwurm Stuxxnet in das Rechnernetz der iranischen Urananreicherungsanlage Natans ein und schalteten dabei 1000 Zentrifugen aus. Die mutmaßlich aus russischen Waffenarsenalen stammende Malware „Industroyer“ hat 2016 das ukrainische Stromnetz gekappt. Der Angriff auf die Chemiefabrik in Saudi-Arabien markiert jedoch eine neue Dimension von Cyberkriminalität: Die Angreifer hatten es offenbar auf einen terroristischen Anschlag abgesehen. Das FBI, die NSA, das Department of Homeland Security sowie das Pentagon haben sich mittlerweile in den Fall eingeschaltet.

Ziel der Angreifer war es nicht, die Anlage zu sabotieren. Sie wollten den Industriekomplex, in dem jedes Jahr fünf Mio. Tonnen Chemikalien produziert werden, in die Luft jagen.

Schon in den Monaten zuvor waren Industrieanlagen in Saudi-Arabien ins Visier von Hackerangriffen geraten. Im Jänner 2017 kam es in einer Chemiefabrik zu einem Blackout. Auch bei der National Industrialization Company, an der der US Chemieriese Dow Chemical beteiligt ist, stürzten die Server ab. 2012 schleusten Hacker ein Computervirus in eine Raffinerie der staatlichen Ölgesellschaft Saudi Aramco ein, das große Mengen aller auf den Rechnern gespeicherten Daten – Dokumente, Entwürfe, E-Mails – löschte und durch das Bild einer brennenden US-Flagge ersetzte. Die US-Behörden verdächtigen damals den Iran hinter der Cyberattacke. Auch diesmal fiel der Verdacht auf das verfeindete Mullah-Regime, mit dem Saudi-Arabien seit Jahrzehnten einen erbitterten Regionalkonflikt ausficht. Doch möglicherweise führt die Spur der Angreifer nicht nach Teheran, sondern nach Moskau.

Im Oktober 2018 legte das amerikanische IT-Sicherheitsunternehmen FireEye einen Bericht vor, wonach die Malware eine russische Handschrift trägt. Triton sei von dem staatlichen russischen Forschungsinstitut CNIIHM entwickelt worden. Die Sicherheitsforscher legten eine Reihe von Beweisen vor. Eine IP-Adresse, die über das CNIIHM registriert war, wurde auch bei dem Virus zu verschiedenen Zwecken genutzt. Die Verhaltensmuster der getrackten Aktivitäten wiesen auffällige Ähnlichkeiten mit der Moskauer Zeitzone auf. Zudem fanden die Forscher in dem Code eine verdächtige Zip-Datei, in der ein Deinstallationsprogramm in kyrillischer Schrift verpackt war. Die Frage ist: Sind das nicht zu offensichtliche Indizien? Haben die Angreifer womöglich eine falsche Fährte gelegt, um die Fahnder in die Irre zu führen? Und wären russische Hacker, die im Auftrag des Geheimdiensts operieren, wirklich so naiv, Programme auf Kyrillisch zu schreiben? Oder ließen die Angreifer ihre Tatwerkzeuge absichtlich liegen – als Drohung an die Weltgemeinschaft? Sicherheitsforscher Neray hält das im Moment noch für „informierte Spekulation“, wie er auf Nachfrage mitteilt.

Neue Dimension der Bedrohung

Was die Geheimdienste so beunruhigt, ist die Tatsache, dass die von der französischen Firma Schneider Electric hergestellte Kontrolleinheit in 18.000 Kraftwerken auf der ganzen Welt verbaut ist,darunter auch in Kernkraftwerken. Schwachstellen in der IT-Sicherheit kritischer Infrastrukturen in Kombination mit Gefahrenstoffen offenbaren eine ganz neue Bedrohungslage. „Wenn Angreifer eine Technik gegen die Schneider Ausrüstung in Saudi-Arabien entwickeln, könnten sie dieselbe Technik auch in den USA anwenden“, sagte der Cybersicherheitsexperte James A. Lewis der New York Times. Die Folgen eines Angriffs wären verheerend. Auf der letztjährigen Hackerkonferenz BlackHat demonstrierte der Sicherheitsforscher Younes Dragoni in einer Simulation, dass eine erfolgreiche Attacke mit einem fehlerfreien Code zu einer Explosion geführt hätte.

Schneider Electric arbeitet unterdessen in Kooperation mit den US-Geheimdiensten unter Hochdruck daran, mögliche Bugs zu identifizieren und Sicherheitslücken zu schließen. Doch solange die Angriffsstrategie nicht vollumfänglich verstanden wird, wissen die Softwareingenieure nicht, wo im System Schwachstellen sind. Der Hack auf die saudische Chemieanlage wird vermutlich nicht der letzte seiner Art gewesen sein.

Fakt

Attackierte Raffinerie

Raffinerie - © Foto: Getty Images / MyLoupe/UIG
© Foto: Getty Images / MyLoupe/UIG

Eine Raffinerie der staatlichen Ölgesellschaft in Saudi-Arabien wurde Ziel eines IT-Angriffs: Hacker schleusten ein Virus ein, das etliche Daten löschte – und durch das Bild einer brennenden US-Flagge ersetzte.