Technik

"Snake" hat Industrie im Visier Greift Iran mit einem Erpresser-Trojaner an?

imago56097664h.jpg

Die Ransomware wurde Snake getauft, weil sie den File Marker EKANS verwendet, der rückwärts geschrieben SNAKE ergibt.

(Foto: imago stock&people)

Ein neuer gefährlicher Erpresser-Trojaner ist offenbar in der Lage, die Kontrollsysteme von Industrieanlagen außer Gefecht zu setzen. Sicherheitsforscher vermuten den Ursprung der "Snake" getauften Ransomware im Iran.

In den vergangenen Wochen häufen sich die Berichte über einen neuen Erpressertrojaner, der sich auf Industrieunternehmen spezialisiert hat. Laut "Bleeping Computer" soll er bei Angriffen versuchen, alle Computer zu verschlüsseln, die sich in einem Firmen-Netzwerk befinden. Den ersten Erkenntnissen nach greift die Ransomware vor allem SCADA-Systeme zur Steuerung und Überwachung technischer Prozesse an. Solche Systeme werden unter anderem in Kraftwerken, Raffinerien, Gas- und Wasserwerken, Transport und Telekommunikation eingesetzt. "Snake" hat es also möglicherweise auf kritische Infrastrukturen abgesehen.

Israelis forschen nach

Dass es den Programmierern der Ransomware nicht nur um schnöde Erpressung von Lösegeld geht, vermutet "Bloomberg" zufolge auch die israelische Sicherheitsfirma Otorio, die auf industrielle Kontrollsysteme (ICS) spezialisiert ist. Sie glaubt, dass der Trojaner seinen Ursprung im Iran hat. Die Israelis haben herausgefunden, dass sich unter den spezifischen Programmen, nach denen "Snake" sucht, sich besonders viele Prozesse des US-Konzerns General Electric befinden. Wenn man ICS-Prozesse lösche oder sperre, sei dies so als würde man einem Fahrer die Augen verbinden und das Lenkrad wegnehmen, schreibt Otorio in einem Blogbeitrag.

Ein Unternehmenssprecher von General Electric sagte "Bloomberg", man sei sich bewusst, dass eine neue Ransomware gezielt industrielle Kontrollsysteme angreife. Man sehe aber nicht, dass der Trojaner ausschließlich ICS-Produkte von General Electric im Visier hat. Ebenso nutze der Angreifer keine spezifische Schwachstelle in der Software seines Unternehmens aus, so der Sprecher. Man werde Kunden unterstützen, wenn diese Hilfe benötigten.

Will Iran den Ölpreis manipulieren?

Otorio begann Mitte Dezember in Sachen "Snake" zu ermitteln. Dabei fanden sie unter anderem heraus, dass Bahrain Petrolium Co. (Bapco) anfällig für einen Angriff der Ransomware ist. Bapco nutze nicht nur Ausrüstung von General Electric, schreibt Otorio. Man habe den Namen des Unternehmens im Code des Schädlings gefunden. Zusammen mit anderen Indizien und den Besonderheiten der Malware sei es sehr unwahrscheinlich, dass "Snake" nicht aus dem Iran stamme.

Bapco wurde vor kurzem von einer anderen Malware angegriffen. Laut "ZDNet" handelt es sich bei "Dustman" um einen Schädling, der einzig und alleine dazu da ist, Daten zu löschen (Data Wiper). Verschiedenen Experten zufolge stammt Dustman aus dem Iran.

Otorio-Chef Danny Bren glaubt, dass Bapco mit Bedacht als Ziel ausgesucht wurde. Die Iraner wollten den Ölpreis ändern, sagt er. "Das ist ein Finanzkrieg. Die Welt übt großen finanziellen Druck auf den Iran aus und sie antworten mit denselben Mitteln."

Quelle: ntv.de, kwe