Foto: urciser - shutterstock.com
Spione, die im Staatsauftrag handeln, führen gerade einen stillen - aber umso schmutzigeren - Stellungskrieg um zivile Infrastrukturen. Ins Visier rücken dabei vor allem Nuklearanlagen und Atomkraftwerke, um diese im Falle geopolitischer Spannungen zu sabotieren. Im Folgenden erfahren Sie am Beispiel des Atomkraftwerks Kudankulam in Indien, wie ein solcher Hackerangriff im Staatsauftrag abläuft - und wie einfach es gewesen wäre, ihn zu verhindern.
Das gehackte Atomkraftwerk
Die Nachricht vom Hackerangriff auf die indische Nuklearanlage verbreitete sich - wie heutzutage üblich - über Twitter. Der indische Security-Experte Pukhraj Singh sprach dabei von einem "casus belli":
So, it's public now. Domain controller-level access at Kudankulam Nuclear Power Plant. The government was notified way back. Extremely mission-critical targets were hit. https://t.co/rFaTeOsZrw pic.twitter.com/OMVvMwizSi
— Pukhraj Singh (@RungRage) October 28, 2019
Allerdings war Singh nicht derjenige, der die Malware aufdeckte, wie er später in einem weiteren Tweet klarstellte:
I didn't discover the intrusion, a 3rd party did. It contacted me & I notified National Cyber Security Coordinator on Sep 4 (date is crucial). The 3rd party then shared the IoCs with the NCSC's office over the proceeding days. Kaspersky reported it later, called it DTrack. https://t.co/9xi4CZrvd1
— Pukhraj Singh (@RungRage) October 29, 2019
Die zuständige staatliche Behörde, das Nuclear Power Plant Corporation of India (NPCI), stritt im ersten Schritt zunächst ab, dass das Atomkraftwerk von Hackern angegriffen wurde. Im Rahmen einer Pressemitteilung bezeichnete die Behörde die Vorwürfe als "Fehlinformation". Die Nuklearanlage sei in keiner Weise mit externen Netzwerken oder dem Internet verbunden. Darüber hinaus, so das NPCI, sei ein Angriff auf das Kontrollsystem des Atomkraftwerks schlicht nicht möglich.
Wenig später musste die Behörde allerdings zurückrudern, und ganz offiziell zugeben, dass ihre Systeme mit einer Malware infiziert wurden. Um weiterhin "Gesicht zu wahren", ist in der Mitteilung allerings auch die Rede davon, dass der infizierte PC ausschließlich mit dem administrativen Netzwerk verbunden und zu jeder Zeit "isoliert vom kritischen Netzwerk" gewesen sei. Darüber hinaus seien keine kritischen Systeme mit der Malware in Berührung gekommen.
Die Attribution des Auftragshacks
Entgegen einiger ursprünglicher Berichte scheint die eingesetzte Malware ganz gezielt für den Angriff auf das indische Atomkraftwerk konzipiert worden zu sein - zumindest wenn man den Security-Analysten von CyberBit Glauben schenkt. Die Untersuchung des Malware Samples offenbarte, dass Admin-Zugangsdaten und RFC 1918 IP-Adressen benutzt wurden, um die Netzwerke des Atomkraftwerks zu infiltrieren. Beides ist per Definition nicht öffentlich über das Netz zugänglich.
Im Umkehrschluss erhöht dieser Umstand die Wahrscheinlichkeit, dass Angreifer bereits im Vorfeld in die Netzwerke der Nuklearanlage eingedrungen sind. Bei dieser Gelegenheit müssen auch die Zugangsdaten gestohlen worden sein, mit deren Hilfe die Malware "scharfgemacht" wurde.
Dennoch handelte es sich bei dem Schadcode nicht um Malware in der Größenordnung von Stuxnet, wie Malware-Analyst Hod Gavriel weiß: "Das war eine zielgerichtete Attacke auf dieses eine spezielle Atomkraftwerk. Der Angriff befand sich sehr wahrscheinlich bereits in der zweiten Phase. Hierbei sollten nur Daten und Informationen abgegriffen werden - es handelte sich nicht um Sabotageware."
Zahlreiche Security-Experten haben sich inzwischen mit der Malware, die zum Angriff auf das Atomkraftwerk Kudankulam genutzt wurde, auseinandergesetzt. Bei der Analyse tauchten viele Ähnlichkeiten zu Schadcode-Samples auf, die bislang mit der berüchtigten nordkoreanischen Hackergruppe Lazarus in Verbindung gebracht wurden. Ein Spezialist von Kaspersky beschrieb diese Ähnlichkeiten in einem Blogbeitrag und wies dabei darauf hin, dass die gefundenen Auffälligkeiten darauf hinweisen, dass "Lazarus eine der aktivsten APT-Gruppierungen ist, wenn es um die Konzeption von Malware geht."
Da Nordkorea kein geopolitisches Interesse an Indien hat, ist die Wahrscheinlichkeit, dass der Hackerangriff auf das Atomkraftwerk unter falscher Flagge durchgeführt werden sollte, relativ hoch.
Die Malware-Analyse
Die Malware wurde in modifizierten Kopien unverdächtiger Alltags-Applikationen wie 7Zip oder VNC versteckt. Mit dieser Methode umgehen kriminelle Hacker des Öfteren erfolgreich Antivirus-Scans. Zumindest dann, wenn kein adäquater Check der Programm-Signaturen erfolgt. Da es sich um modifizierte Applikationen gehandelt hat, hätte eine solche Überprüfung den Angriffsversuch aufdecken müssen. Da das nicht passiert ist, ist davon auszugehen, dass bislang eher laxe Security-Praktiken in Kudankulam an den Tag gelegt wurden.
Einen Hackerangriff wie diesen "passiv" auf die Schliche zu kommen, sei äußerst schwierig, wie Gavriel weiß: "Solchen zielgerichteten Malware-Attacken passiv auf die Schliche zu kommen ist äußerst schwierig und sorgt sehr wahrscheinlich für Fehlalarme, für deren Identifizierung erfahrene, fähige Analysten nötig sind."
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.