KillDisk und BlackEnergy bedrohen nicht allein die ukrainische Stromversorgung

Originalartikel von Kyle Wilhoit, Senior Threat Researcher

Neue Erkenntnisse zu BlackEnergy zeigen, dass das Ausmaß der koordinierten Angriffe auf Industrienetzwerke viel größer ist als ursprünglich angenommen. Die Angreifer hinter den Stromausfällen im Dezember bei zwei Elektrizitätswerken in der Ukraine versuchten ähnliche Attacken auf ein Bergbauunternehmen und auf die größte Eisenbahngesellschaft im Land. Das zeigt auch, dass BlackEnergy sich zur Bedrohung für Unternehmen aller Branchen – private und öffentliche – entwickelt hat.
Die Motive hinter den Angriffen hatten zu wilden Spekulationen geführt. Doch scheinen Attacken darauf ausgerichtet zu sein, die ukrainische öffentliche kritische Infrastruktur zu beschädigen – können also nur politisch motiviert sein.

Trend Micros Sicherheitsforscher kamen zu den Erkenntnissen, als sie den Fokus von den ursprünglichen Indicators of Compromise, einschließlich BlackEnergy Erkundungs- und laterale Bewegungs-Tools sowie KillDisk, abzogen. Sie begannen nach zusätzlichen Infektionen oder Schadsoftware-Samples in Verbindung mit den Vorfällen zu suchen. Dabei fanden sie heraus, dass Prykarpattya Oblenergo und Kyivoblenergo nicht die einzigen Ziele der neuesten BlackEnergy-Kampagne waren.

Mithilfe von Telemetriedaten aus Open Source-Intelligence (OSINT) und dem Trend Micro Smart Protection Network erkannten die Forscher Samples von BlackEnergy und KillDisk, die eventuell gegen ein großes ukrainisches Bergbauunternehmen und eine Eisenbahngesellschaft verwendet worden waren. Auch scheinen die möglichen Infektionen in diesen beiden Organisationen dieselbe BlackEnergy- und KillDisk-Infrastruktur verwendet zu haben, die auch im Angriff im Dezember zum Einsatz kam.

Übereinstimmende  Malware in einem großen ukrainischen Bergbauunternehmen

Während der Untersuchung fanden die Forscher Übereinstimmungen zwischen den BlackEnergy-Samples, die im Vorfall beim Elektrizitätswerk genutzt wurden, und jenen, die anscheinend gegen das Bergbauunternehmen eingesetzt wurden. Ein Sample amdide.sys (SHA1: 2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1) scheint im November 2015 für die Infektion des Ziels verwendet worden zu sein. Zusätzliche Samples, welche die Angreifer gegen die ukrainischen Elektrizitätswerke und das Bergbauunternehmen nutzten, sind folgende:

  • aliide.sys: C7E919622D6D8EA2491ED392A0F8457E4483EAE9
  • acpipmi.sys: 0B4BE96ADA3B54453BD37130087618EA90168D72

Die Forscher fanden auch ein weiteres Sample aliide.sys (SHA1: C7E919622D6D8EA2491ED392A0F8457EA240), dass dasselbe Unternehmen getroffen hatte. Die Bezeichnung BlackEnergy soll eines der Samples widerspiegeln, die aktiv in der Kampagne gegen die ukrainischen Elektrizitätswerke genutzt wurden. Es wurde als BlackEnergy markiert und hat dieselbe Funktionalität wie diejenigen Samples, die im Fall der Angriffe auf das Elektrizitätswerk gefunden wurden. Auch verwendet es dieselbe Infrastruktur. In diesem Fall wird mit der URL 88[.]198[.]25[.]92:443/fHKfvEhleQ/maincraft/derstatus.php kommuniziert.

Weitere Samples, die als BlackEnergy gefunden wurden sind:

  • adpu320.sys : 2D805BCA41AA0EB1FC7EC3BD944EFD7D
  • acpipmi.sys: 0B4BE96ADA3B54453BD37130087618EA

Beide kommunizieren mit 146[.]0[.]74[.]7:443/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php, eine Adresse, die auch als C&C im Vorfall des Elektrizitätswerks eingesetzt wurde.

Das Bergbauunternehmen wurde leider auch von mehreren Varianten von KillDisk angegriffen. Zwar scheint keines der Samples aus den früheren Angriffen auch in der Attacke auf das Bergbauunternehmen verwendet worden zu sein, aber die eingesetzte Schadsoftware führte genau dieselben Funktionen aus, wie die bei den anderen Angriffen.

Auch KillDisk scheint mehrfach verwendet worden zu sein: Die beiden Samples svchost.exe (SHA1: 8AD6F88C5813C2B4CD7ABAB1D6C056D95D6AC569) und crab.exe (SHA1: 16f44fac7e8bc94eccd7ad9692e6665ef540eec4) wurden sowohl im Vorfall beim ukrainischen Elektrizitätswerk als auch beim Angriff auf das Bergbauunternehmen erkannt.

Ähnliche Malware bei einer großen Eisenbahngesellschaft

KillDisk könnte auch beim Angriff auf die ukrainische Eisenbahngesellschaft genutzt worden sein. Die Datei tsk.exe (SHA1: f3e41eb94c4d72a98cd743bbb02d248f510ad925) wurde als KillDisk markiert und in beiden Vorfällen, Elektrizitätswerk und Eisenbahngesellschaft, erkannt. Es gibt keinen Beweis, dass BlackEnergy auf den Systemen der Eisenbahngesellschaft vorhanden war, auch wenn dies wahrscheinlich der Fall war.

Trend Micros Theorie

Auf der Grundlage der Untersuchungen gehen die Sicherheitsforscher davon aus, dass dieselben Akteure in alle Vorfälle verwickelt waren. Es gibt bemerkenswerte Überlappungen zwischen der eingesetzten Schadsoftware, Infrastruktur, den Namenskonventionen und gewissermaßen auch im Timing beim Einsatz der Malware.

Es gibt mehrere Möglichkeiten der vermuteten Hintergründe. Zum Einen könnten die Angreifer die Ukraine destabilisieren wollen, indem sie massive Stromausfälle, oder Ausfälle im Transportwesen provozieren. Zum Anderen könnten sie die Schadsoftware auf verschiedenen kritischen Infrastruktursystemen installiert haben, um zu bestimmen, welches am einfachsten infiltriert werden kann. Auch gibt es die Vermutung, dass die Infektionen in dem Berbau- und Eisenbahnunternehmen lediglich Vorinfektionen waren, als Test der Codebasis.

Was auch immer stimmt, Angriffe gegen Industrial Control Systeme (ICS) sollten sehr ernst genommen werden! Auch zeigen die Angriffe, dass jede Organisation zum Ziel werden kann.

Eine ausführliche Liste mit Indikatoren für BlackEnergy 2015 Kampagnen gibt es in diesem Anhang.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*