IRONGATE

 

Keyfacts

  • entdeckt: 2015
  • sicher aktiv seit: 2012
  • letzte Aktualisierung: September 2014 (Codeversion von 2012)
  • Verbreitung: keine, nur Fundstücke bei Online-Viren-Scanner
  • Infektion und Replikation: vermutlich über Spear-Phishing gezielte Infektion, keine Replikation bekannt
  • Hauptziel: Manipulation von Steuerungsprozeßen von Industrie-Anlagen (Siemens SCADA-Systemen)
  • Vermutliche Herkunft: unbekannt

Relevante Dokumente

Bei Malware der IRONGATE-Familie handelt es sich um Schadsoftware, die nicht aufgrund eines akuten Vorfalls entdeckt wurde. Stattdessen wurden 2014 durch unbekannte Quellen zwei Versionen von IRONGATE auf der Webseite „Virus Total“ hochgeladen. Die Webseite dient dazu, Dateien online mit Hilfe verschiedenster Virusscannern zu prüfen. Die beiden hochgeladenen Varianten wurden damals nicht als schadhaft klassifiziert und erst 2015 wieder im Rahmen der Analyse einer anderen Schadsoftware wieder in der Virus-Total-Datenbank entdeckt.

Die IRONGATE-Schadsoftware ist dennoch bemerkenswert, da sie – ebenso wie Stuxnet – Industrie-Steuerungsanlagen (ICS) und deren Software-Steuerung (SCADA) von Siemens angreift und versucht dieses zu manipulieren. Anders als Stuxnet – das auf eine spezielle Anlage und die dort verbauten Steuerungs-Komponenten zugeschnitten war – scheint IRONGATE für eine Simulationsumgebung PLCSIM entwickelt worden zu sein. Diese Simulationssoftware wird unter anderem benutzt um Software für Industrie-Anlagen vor deren Einsatz zu testen. Die Autoren die FireEye-Analyse kommen daher zu dem Schluß, dass IRONGATE möglicherweise ein Testfall gewesen ist oder ein „Proof-of-concept“-Szenario um die Mechanismen, die bei den Stuxnet-Angriffen benutzt wurden zu abstrahieren und für andere Angriffsszenarios zu testen:

Siemens Product Computer Emergency Readiness Team (ProductCERT) confirmed that IRONGATE is not viable against operational Siemens control systems and determined that IRONGATE does not exploit any vulnerabilities in Siemens products. We are unable to associate IRONGATE with any campaigns or threat actors. We acknowledge that IRONGATE could be a test case, proof of concept, or research activity for ICS attack techniques. (Q: FireEye.com)

Ebenso wie Stuxnet zielt IRONGATE auf die Manipulation einer spezifischen Steuerungs-Routine ab, die angeschlossene Industrie-Geräte steuert. Dabei werden – anders als bei Stuxnet – die manipulierten Signale an die Geräte im Falle von IRONGATE in den Log-Daten der Geräteüberwachung verschleiert um die Manipulation besser zu verbergen.

Irongate wurde außer in den erwähnten Fällen nicht auf Siemens-Produktiv-Systemen entdeckt und ist auch nach 2014 nicht mehr aufgetaucht. Laut FireEye gibt es im Code keine Überschneidungen zu den entdeckten Stuxnet-Versionen und auch der Lebenszyklus von Stuxnet umfasst eine viel größere Zeitspanne:

The FireEye team does not think that IRONGATE is the work of Stuxnet’s authors. First of all, although Stuxnet went through various iterations over the years, it dates fromas far back as 2007. IRONGATE, meanwhile, only stretches to 2012, judging by the compile dates of the malware samples. By this time, Stuxnet’s authors “had already developed the capabilities in real life,” McBride said. That, and IRONGATE is not the sort of sophistication you would expect from a nation state, Caldwell added. (Some code in the malware “closely matched usage on a control engineering blog dealing with PLCSIM,” the report adds). (Q:vice.com)

IRONGATE selbst stellt laut Aussagen der Malware-Analysten keine Bedrohung dar, deutet aber darauf hin, dass Angriffe nach dem Muster von Stuxnet, bei denen gezielt Industrieanlagen mit maßgeschneiderter Malware manipuliert werden, weiterhin eine reelle Bedrohung darstellen und offenbar von unbekannten Akteuren erprobt werden.

Robert M. Lee, a SANS instructor and ICS/SCADA expert, says Irongate itself doesn’t represent a next-generation Stuxnet or other threat per se, but it does underscore a basic problem with ICS/SCADA security. “It’s not a sign of a specific [attack] capability, but it’s a sign of the interest in this by pen testers, security companies, as well as adversaries,” Lee says. “The problem I have … is I am not confident that a majority of the industry could respond to it. We don’t know what’s out there; antivirus companies aren’t finding it and even if they had, who would know what to do with it [the threat]?”

Lee says it’s difficult to determine who is behind Irongate, but he’s not sold that it’s an actual attack. “This looks to be a security company put it together to demonstrate a security tool, or a pen test and researcher put it together for a project,” he says. “It’s not an adversary tool — but it’s still important.” (Q: darkreading.com)

Share Button