Die New York Times berichten aktuell (lokale Kopie) über einen Bericht des Department of Homeland Security (DHS) und des FBI, denen zufolge es seit Mai Versuche von Cyber-Attacken unter anderem gegen US-Energieversorger und US-Atomkraftwerke gegeben haben soll. Dabei soll es Angreifern zwar gelungen sein Rechner innerhalb der Anlagen zu infizieren, ohne jedoch den Sprung aus diesen Verwaltungs-Systemen in die – in aller Regel getrennten – eigentlichen Steuerungssysteme zu realisieren. Fraglich bleibt laut dem zitierten Bericht, ob es sich bei den Aktivitäten um Spionage oder den gezielten Versuch der Sabotage handelt. In jedem Fall sei den Angreifern darum gegangen, die internen Netzwerke möglichst genau zu durchleuchten und aufzuklären. Bislang gibt es jedoch noch keine offiziellen Aussagen über die Analysen des Payloads der Cyberattacken. Update: Weiteren Presseberichten zufolge wurden Zugangsdaten zu den Verwaltungssystemen vor allem auch per Spear-Phishing und Watering-hole-Attacken gesammelt. Auch dieses Vorgehen passt zu den Vorfällen in der Ukraine. Darüber hinaus ist die vermutlich gute Nachricht daran, dass die IT der Kraftwerke nicht per se angreifbar ist, sodass die Urheber der Attacken den Weg über social engineering als Angriffsvektor gewählt haben – zumindestens soweit das aktuell bekannt ist.
Aufgrund des vorsichtigen Vorgehens und Parallelen zu Vorfällen wie den Angriffen auf die ukrainische Stromversorgung Ende 2015 sowie den notwendigen Ressourcen beim Hacking von Industrie-Steuerungsanlagen (i.a.R. sogenannte SCADA-Systeme) gehen die Autoren des geheimen DHS/FBI-Report von staatlichen Hackern aus. Eine sehr gute Analyse der Komplexität von Angriffen auf derlei kritische Infrastrukturen bietet der Abschlussbericht zu dem Stuxnet-Vorfall von 2010. Damals wurde, vermutlich ebenso über den Weg der Verwaltungs-IT, die interne Industriesteuerungs-Software einer Uran-Anreicherungsanlage im Iran manipuliert und sabotiert. Der Bericht „To kill a centrifuge“ dokumentiert dabei den enormen, jahrelangen Aufwand sowie das notwendige, nachrichtendienstlich erworbene Vorwissen über die genauen IT-Systeme, deren Konfigurationen und Software-Versionen die für einen derartigen Angriff notwendig sind – ein Aufwand der realistisch nur von Staaten zu leisten gewesen ist.