BlackEnergy / KillDisk

 

Keyfacts

  • entdeckt:  23.12.2015
  • sicher aktiv seit: 2015
  • letzte Aktualisierung: 2014
  • Verbreitung: Kraftwerke in der West-Ukraine
  • Infektion und Replikation: Phishing mit infizierten MS-Office-Dokumenten per Mailanhang
  • Hauptziel: vermutlich Sabotage
  • Vermutliche Herkunft: unbekannt, eine Code-Analyse (siehe unten) legt Ähnlichkeiten zu weiteren Attacken in der Ukraine und zu den NotPetya-Vorfällen nahe

Relevante Dokumente

Ende 2015 fiel im Westen der Ukraine für einige Stunde der Strom aus. Bis zu 700.000 Bewohner waren von dem Vorfall betroffen, der sich hauptsächlich auf den Stromanbieter Prykarpattyaoblenergo bezog und bisherigen Erkenntnissen zufolge primär auf einen Hackerangriff zurückzuführen sein soll. Diese These wird mittlerweile in einem Forbes-Pressebericht auch vom ukrainischen Emergency Response Team (CERT-UA) bestätigt und vom ukrainischen Geheimdienst SBU mit früheren Versuchen russischer Hacker in Verbindung gebracht. Die Angriffe wurden vermutlich mit Hilfe eines Trojaner namens „BlackEnergy“ durchgeführt, der bereits seit 2007 bekannt ist und in der Ukraine schon für Attacken während der Regionalwahlen 2015 eingesetzt wurde (Für eine gute Darstellung wie diese Malware weiterentwickelt wurde sie den Beitrag „Updated BlackEnergy Trojan Grows More Powerful“ in der Liste relevanter Dokumente). Die nun von der slovakischen Sicherheitsfirma ESET analysieren Code-Samples zeigen, dass BlackEnergy auch um Zugriffs-Routinen für populären Industrie-Steuerungssoftware (industrial control system -ICS) ergänzt wurde:

The BlackEnergy malware, which has been used in attacks dating back to 2007, was originally thought to be focused on cyber espionage. But in 2014, hackers updated the toolset to include malicious code targeting SCADA ICS, known-to-be-vulnerable kit used to control power stations and other critical infrastructure.

Neben dieser Malware, die vermutlich mit Hilfe gezielt als E-Mail-Anhänge versandter infizierter Word-Dokumente auf Computer in dem Kraftwerk gelangt waren, wurde auch die Software „KillDisk“ entdeckt, deren Zweck im unwiderbringbaren Löschen von Festplatten besteht.

Genaue Details des Angriffs sind noch unbekannt, scheinbar wurde auf infizierten Systemen nach Dateien bestimmter Typen gesucht und diese gelöscht. Außerdem wurden scheinbar laufende Software-Prozeße gezielt analysiert und zum Teil deaktiviert (was deren Absturz provoziert). Zum Teil wurden Computer damit zu einem Reboot gezwungen und durch die gelöschten Dateien der PC unbenutzbar gemacht:

ESET researcher Anton Cherepanov also found the KillDisk variant detected in various electricity companies in the region contained “functionality specifically intended to sabotage industrial systems”. It looked to kill two “non-standard processes” – executable files called ‘komut.exe’ and ‘sec_service.exe’. Whilst the anti-virus firm’s researchers couldn’t determine what komut.exe did, it said the second process name may belong to software called ASEM Ubiquity, a platform often used in industrial control systems (ICS). Where that latter process was found, the wiper would terminate it and overwrite the executable with random data. (Q: Forbes)

Jake Williams, principal consultant at whitehat hacker firm Rendition Infosec, also analyzed the malware from the Prykarpattyaoblenergo network, noting it sought to wipe a variety of files. He confirmed the sec_service file was targeted. Once the malware had infected a Windows system, it would force a reboot. “In most cases that machine is not going to come back up,” Williams said. (Q: Forbes)

Die auf die Sicherheit von Industrie-Systemen spezialisiert Firma SANS ICS kommt nach einer Analyse zu dem Schluss dass, ähnlich wie bei Stuxnet neben den konkreten Geräte-Steuerungssystemen (SCADA) auch Server und Arbeitsplatzrechner infiziert waren – entweder als Teil des schrittweisen Angriffs oder um ein Fehlverhalten durch manipulierte Steuerungen zu verbergen. Darüber hinaus soll mit Hilfe einer Denial-of-Service-Attacke gegen die Webseite und Callcenter des Anbieters der Support aktiv behindert worden sein. Bei dem eigentlich für den Ausfall zuständigen Teil soll es sich um Sicherungen gehandelt haben durch deren Manipulation Schwankungen der Netzfrequenz herbeigeführt wurden.

Die Herkunft des Angriffs ist gegenwärtig noch unklar, allerdings weisen einige Hinweise auf Aktivitäten einer „Sandworm“ genannten Gruppe hin, die mit BlackEnergy in den vergangenen zwei Jahren in der Ukraine aber auch gegen russische Unternehmen und Einzelpersonen agiert haben sollen.

A link between BlackEnergy and the KillDisk malware was first reported by CERT-UA in November when news publications were attacked around the 2015 Ukrainian local elections. This added to suspicions Russian-sponsored hackers were involved in the group. Intelligence provider iSight Partners said it believes a hacker collective called Sandworm Team has been using BlackEnergy over the last two years. (..) “Renewed BlackEnergy activity, (..) was uncovered throughout 2015 in Ukraine affecting government, telecommunications, and energy sector organizations in the country,” it wrote in a statement to media. But Russian individuals and businesses have also been targeted by hackers using the BlackEnergy malware, according to November 2014 research from Russian firm Kaspersky.(..)Kaspersky also suggested BlackEnergy had been used for criminal enterprises but some time in 2014 was used in attacks that appeared to have government backing. (Q: Forbes)

Möglicherweise sind die Attacken Reaktionen auf vorherige Stromabschaltungen auf der Krim, die im Rahmen des Ukraine-Konflikts von Russland besetzt ist, zum Teil infrastrukturell jedoch immer noch von ukrainischen Versorgungsnetzen abhängig ist. Code-Analysen der IT-Unternehmens ESET kommen zu dem Schluss, dass die Malware Bestandteil einer schrittweise entwickelten Bibliothek sein müssen, die sowohl bei anderen Angriffen gegen die ukrainische Stromversorgung (die sog. „Industroyer“-Vorfälle im Dezember 2016 in Kiew) und im April 2018 („Exaramel“-Vorfälle) zum Einsatz kam sowie möglicherweise sogar bei NotPetya.

Eine Studie im Auftrag des US Industrial Control Systems-CERTs die im betroffenen Kraftwerk vor Ort Interviews durchgeführt haben kommt zu dem Schluss, dass die Kraftwerks-Einrichtungen tatsächlich per Cyberattacke angegriffen und gestört wurden:

An interagency team comprised of representatives from the National Cybersecurity and Communications Integration Center (NCCIC)/Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), U.S. Computer Emergency Readiness Team (US-CERT), Department of Energy, Federal Bureau of Investigation, and the North American Electric Reliability Corporation traveled to Ukraine to collaborate and gain more insight. (..) the team assesses that the outages experienced on December 23, 2015, were caused by external cyber-attackers (..)

During the cyber-attacks, malicious remote operation of the breakers was conducted by multiple external humans using either existing remote administration tools at the operating system level or remote industrial control system (ICS) client software via virtual private network (VPN) connections. The companies believe that the actors acquired legitimate credentials prior to the cyber-attack to facilitate remote access (Q: ICS-CERT USA)

Die Beschreibungen des Angriffs-Hergangs legen die Vermutung nahe, dass die Ausführung der eigentlichen Schadens-Funktionen nur mit Hilfe der Legitimation von Bedien-Personal möglich waren (bspw. sind denkbar die Deaktivierung von System-Warnungen,  die Ausführung von Routinen mit eigentlich geschützten Accounts oder die Veränderung von Toleranz-Grenzen). Außerdem soll KillDisk erst *nach* dem Angriff benutzt worden sein um die Wiederherstellung des Systems zu erschweren. Das würden bedeuten, dass die Malware BlackEnergy (oder eine andere) vor allem genutzt wurde um Credentials wie System-Zugänge zu erlangen (Phishing) und der eigentliche Angriff weniger eine Cyberattacke als vielmehr die gezielte Sabotage durch menschliches Einwirken war.

  1. Quelle offline, Link war https://blogs.mcafee.com/mcafee-labs/updated-blackenergy-trojan-grows-more-powerful/