Die beim Angriff von 2016 verwendete Malware wurde Industoyer One genannt, und die ähnliche, aber unterschiedliche Malware, die im Jahr 2022 verwendet wurde, wurde Industroyer Two genannt. Die Five Eyes, ein Geheimdienstbündnis bestehend aus Australien, Kanada, Neuseeland, dem Vereinigten Königreich und den Vereinigten Staaten, haben beide Angriffe dem GRU zugeschrieben, dem russischen Militärgeheimdienst.
Der erste Angriff könne als Beispiel für Einschüchterung und Machtmissbrauch ohne Krieg gesehen werden, sagte Cardenas, während der zweite ein Blick auf die Kriegsführung in der modernen Welt sei
„Es ist ein Beispiel für einen modernen Krieg, da er physische und Cyber-Angriffe kombiniert“, sagte Cardenas. „Es ist kein isoliertes Ereignis, diese Ereignisse in der Cyberwelt und der physischen Welt verstärken sich gegenseitig und verursachen den größtmöglichen Schaden. Nachdem unser Papier angenommen wurde, erhielten wir die Nachricht von einem weiteren Angriff, der gleichzeitig mit einem Cyberangriff und einem kinetischen Angriff auf das Stromnetz der Ukraine abzielte.“
Die Malware-Angriffe sind nicht nur die ersten und einzigen Beispiele für Cyber-Angriffe auf ein Stromnetz, sondern nur Teil einer kleinen Anzahl bekannter Malware-Angriffe auf physische Infrastruktur im Allgemeinen.
Das erste Beispiel für einen Malware-Angriff auf physische Infrastruktur war der 2010 entdeckte und einige Jahre zuvor eingesetzte Stuxnet-Angriff mit der Absicht, die Zentrifugen einer Urananreicherungsanlage im Iran zu zerstören. Zuvor zielten Malware-Angriffe nur auf klassische Computersysteme wie IT- und Finanzsysteme.
Die Industroyer-Angriffe führten zu stundenlangen lokalen Stromausfällen. Diese Art von Angriffen erfordert, dass die Betreiber das Problem vor Ort beheben und sich wieder mit den Hauptsystemen verbinden. Sie sind weitaus weniger katastrophal als ein Systemzusammenbruch, bei dem sich ein Fehler durch das „Massen“-System ausbreitet und das Stromnetz eines ganzen Landes lahm legen könnte.
„Diese Angriffe konnten zu lokalen Stromausfällen führen, aber bisher kam es nicht zu einem systemweiten Zusammenbruch. Ein Angriff, der das Stromnetz zusammenbrechen lassen könnte, wäre weitaus gefährlicher, da das ganze Land mehrere Tage lang ohne Strom wäre“, sagte Cardenas.
Betroffen wären in diesem Falle sämtliche Einrichtungen des Gesundheitssystems, darunter die gesamte Labormrdizin.
Beide Industroyer-Angriffe waren vollständig automatisiert, was bedeutet, dass nach ihrer Durchführung kein menschliches Eingreifen mehr erfolgte und Bereiche des Stromnetzes durchbrochen wurden, die für eine höhere Sicherheit vom Internet getrennt werden sollten. Bei beiden Angriffen wurde ein Windows-Computer in einem Umspannwerk oder Kontrollraum kompromittiert, um den Status von Leistungsschaltern im Netz zu manipulieren.
Industroyer One verhielt sich wie ein Schweizer Taschenmesser, da es sowohl ältere Systeme mit seriellen Leitungen als auch moderne Systeme mit modernen Kommunikationssystemen angreifen konnte. Es wurde ohne ein bestimmtes Ziel entwickelt und konnte direkt aus einem Umspannwerk oder von der Hunderte Kilometer entfernten Kontrollzentrale aus angreifen. Es erwartete Konfigurationsdateien vom System selbst, um seinen Angriff zu leiten. Diese Eigenschaften bedeuteten jedoch nicht, dass es fehlerfrei war.
„Es bot die Flexibilität, von überall aus anzugreifen, aber wir stellten auch fest, dass es viele Fehler aufwies“, sagte Cardenas. „Es gab mehrere Implementierungsfehler, die nicht dem Protokoll entsprachen. Vielleicht war es sehr zielgerichtet, aber wir haben es mit verschiedenen Arten von Geräten getestet und aufgrund der Fehler funktionierte es bei einigen und bei anderen nicht.“
Industroyer Two hingegen war sehr spezifisch, da seine Ziele in die Malware selbst integriert waren, sodass das Lesen von Konfigurationsdateien nicht erforderlich war. Die Forscher konnten erkennen, dass es auf drei IP-Adressen abzielte, die mit bestimmten Geräten koordiniert waren, vermutlich um Leistungsschalter in bestimmten Umspannwerken zu steuern. Die in Industroyer One vorhandenen Fehler wurden behoben.
„Vielleicht lag es daran, dass sie im Laufe der Zeit Zeit hatten, die Malware zu polieren, um die Fehler zu beseitigen, aber sie wussten auch besser, was sie wollten“, sagte Cardenas.
https://dx.doi.org/10.1109/SP54263.2024.00162
