Während in der analogen Welt akut die Gefahr der Ansteckung mit Corona-Viren thematisiert wird, beschäftigte seit vergangenem Dezember Cybersicherheitsexperten eine neuartige Schadsoftware.
Mit der als Ekans oder auch unter dem Namen Snake bekannt gewordenen Ransomware erlangen Eindringlinge, wie bei Erpressungstrojanern üblich, Zugang zu einem System, verschlüsseln es und bestimmen so über den Zugriff auf Daten, deren Nutzung oder auf das ganze Computersystem, um Lösegeld einzufordern.
Diese Schadprogramme zielen explizit auf industrielle Steuerungssysteme (ICS) ab, die in kritischen Bereichen von Ölraffinerien über Stromnetze bis hin zu Produktionsanlagen eingesetzt werden. Neben der Lösegelderpressung kann die Software Prozesse von industriellen Steueranlagen (ICS-Anlagen) im Kern treffen und im schlimmsten Fall gar lahmlegen.
Laut Sicherheitsforschern kann der Code mehr als 60 Softwareprozesse auf den betroffenen Rechnern beenden, von denen viele spezifisch für industrielle Steuerungssysteme sind. So könne Software, die zur Überwachung von Infrastruktur dient, wie etwa Ölpipelines oder auch Roboter in einer Fabrik, außer Gefecht gesetzt werden.
Schnelle Schlussfolgerung über angeblich staatlichen Ursprung
Laut dem auf industrielle Kontrollsysteme (ICS) spezialisierten Cybersicherheitsunternehmen Otorio ist Snake noch hinterlistiger als übliche Schadsoftware in diesem Bereich, da es außerdem alle Dateikopien von den infizierten Stationen entfernt und so verhindert, dass verschlüsselte Dateien wiederhergestellt werden können.
Mehr zum Thema - Iran zu Cyber-Angriff durch US-Armee: "Sie gaben sich Mühe, sind aber gescheitert"
Bereits Ende Januar kam das in Tel Aviv ansässige Unternehmen Otorio schließlich zu dem Schluss, dass zweifelsohne der Iran dahinterstecken müsse, schließlich sei das staatliche Erdölunternehmen Bahrains, Bapco, ein "sehr wahrscheinlicher Kandidat" – denn ein Großteil der anvisierten ICS-Prozesse gehöre zu General Electric (GE), sodass potenzielle Ziele wohl GE Software einsetzten, heißt es bei Otorio unter der Schlagzeile "Snake: Auf die Industrie ausgerichtete Ransomware mit Verbindungen zum Iran". Der Iran sei "unmittelbar verdächtig", unter anderem weil Bapco bereits zuvor von datenvernichtender Malware mit dem Namen Dustman betroffen war und weil "iranische Hacker außerdem dafür bekannt sind, von den Fähigkeiten und Handlungen anderer zu lernen und diese zu kopieren und zu ihrem Vorteil zu nutzen".
Auch Bloomberg berichtete schnell die seitens der israelischen Firma hergestellten Verbindungen zum Iran und zitierte Otorio. Bapco verwende nicht nur Geräte von GE, sondern sein Name wurde auch im Code der Malware gefunden.
Es gibt Befunde und Fingerabdrücke in der Malware, die, wenn man sie mit den Umständen dieser Kampagne in Verbindung bringt, es höchst unvernünftig erscheinen lassen, dass Snake von einem anderen Akteur als dem Iran ausgeführt wurde", hieß es bei Otorio.
Diese spezifische Malware sei nur eines der Instrumente im Arsenal von Schadsoftware, die der Iran einsetze. Auch US-Beamte und Sicherheitsexperten haben sich besorgt darüber geäußert, dass der Iran möglicherweise einen Cyberangriff gegen die USA oder ihre Verbündeten in Erwägung ziehe.
Mittlerweile haben jedoch die Cybersicherheitsunternehmen Dragos und SentinelOne, die auf industrielle Umgebungen wie industrielle Steuerungssysteme (ICS) spezialisiert sind, diese Behauptungen unter die Lupe genommen.
Mehr zum Thema - Pompeo nennt Russland, China, Iran und Terrorismus als Hauptbedrohungen für die NATO
Anhand der von Otorio aufgeführten Argumente hat Dragos die Spekulationen über angebliche Verbindungen zum Iran jedoch als spärlich befunden.
Eine Korrelation mit der Malware Dustman sei "seltsam", da diese anhand "aller verfügbaren Beweise" erst nach Ekans zum Einsatz kam, und zwar nicht in Bahrain. Und selbst wenn Bapco ebenfalls betroffen war, stelle eine solche Beobachtung längst keine notwendige Verbindung zwischen den Ereignissen her und impliziere sie nicht einmal. Auch ein zeitnaher Einsatz der Malware bedeute noch lange keine Verbindung zu einer übergeordneten koordinierenden Behörde.
Auch das Argument mit Bezug auf technische "Marker", die eine Ähnlichkeit von Ekans mit Ereignissen in Verbindung mit dem Iran belegen sollen, entkräftigte Dragos in seiner Analyse:
Leider sind keine solchen 'Marker' vorhanden.
Vielmehr als politisch sei der Einsatz von Ekans kriminell motiviert. Auch Vitali Kremez, Forscher bei dem Cybersicherheitsunternehmen SentinelOne und einer der Entdecker von Ekans, erklärte, warum Lösegeldangriffe auf industrielle Kontrollsysteme aus krimineller Motivation Sinn machen. So würden beispielsweise Krankenhäuser und Regierungen einen unverhältnismäßig hohen Verlust riskieren, wenn sie nicht reagieren.
Diese industriellen Steuerungssysteme gehören zu den wertvollsten Zielen. Die Dringlichkeit ist groß, und die Datenverfügbarkeit ist der Kern der Mission. Es besteht also ein großer Anreiz, die Angreifer zu bezahlen", zitiert Wired Kremez.
Die offenbar vorschnelle Beschuldigung des Iran mag aber auch mit der durch die berufliche Laufbahn geprägten Weltsicht der Otorio-Verantwortlichen zusammenhängen.
Gegründet wurde das Unternehmen von Danny Bren, dem ehemaligen IT-Sicherheitschef der israelischen Armee, der knapp dreißig Jahre für das israelische Militär gearbeitet hat. Auch der Co-Gründer von Otorio, Yair Attar, ist ein israelischer Ex-Militär.
Derartige Wahrnehmungen bergen nicht nur die Gefahr, dass auf fehlerhafter Basis möglicherweise folgenreiche Entscheidungen gefällt werden. Die Malware Dustman wurde kurz vor der Ermordung des iranischen Generals Soleimani als iranisch identifiziert.
Außerdem kann so die Bedeutung derartiger Malware verkannt werden, die laut der Computerzeitschrift Wired noch größer sei, wenn es sich nicht um staatlich gefördertes Hacking handele, da dies einer der ersten ICS-Malware-Fälle sei, der von nicht-staatlichen Akteuren ausgehe. In der Vergangenheit waren es vielmehr hoch entwickelte Geheimdienste, die derartige Malware in Umlauf brachten, so die NSA und der israelische Geheimdienst, die Stuxnet zur Sabotage von iranischen Nuklearanlagen einsetzten.
Mehr zum Thema - Cyberwaffen fürs Volk: Wie die NSA den globalen Cyberterrorismus möglich machte
Folge uns auf