Analyse von Kaspersky ICS Cert
Gezielte Angriffe auf Industrie-Zulieferer
Bereits Anfang 2020 berichteten Industrieunternehmen aus verschiedenen Regionen über eine Reihe zielgerichteter Angriffe. Nach Analysen des Kaspersky ICS Cert konzentrierten sich diese auf Systeme in Japan, Italien, Deutschland und Großbritannien. Die Angreifer hatten dabei Anbieter von Geräten und Software für Industrieunternehmen im Visier und nutzten infizierte Office-Dokumente, PowerShell-Skripte und verschiedene Techniken, die eine Erkennung und Analyse der Malware schwierig gestalten, wie beispielsweise Steganografie (Verbergen von Daten in Bildern).
Angriffe auf Industrieobjekte sind hochentwickelt und ziehen diverse Konsequenzen nach sich: von erfolgreicher Industriespionage bis hin zu erklecklichen finanziellen Verlusten. Die Experten von Kaspersky haben nun eine Reihe von Angriffen untersucht, deren anfänglicher Angriffsvektor sprachlich angepasste Phishing-Mails waren. Die verwendete Malware führte nur dann Aktivitäten aus, wenn die Sprache des Betriebssystems mit der in der Phishing-Mail übereinstimmte. Im Falle eines Angriffs auf ein japanisches Unternehmen wurden beispielsweise der Text der Mail und das mit schädlichen Makros kompromittierte Microsoft-Office-Dokument auf Japanisch verfasst. Um das Malware-Modul erfolgreich zu entschlüsseln, musste das Betriebssystem zudem über eine japanische Lokalisierung verfügen.
Eine genauere Analyse zeigte, dass die Angreifer das Programm Mimikatz verwendet haben, um die Authentifizierungsdaten von Windows-Konten des kompromittierten Systems zu stehlen. Diese Informationen können von Angreifern verwendet werden, um Zugriff auf weitere Systeme im Unternehmensnetzwerk zu erhalten und weitere Angriffe zu entwickeln. Angreifer erhalten damit auch Zugriff auf Konten mit Domänenadministratorrechten.
Die hauseigenen Sicherheitslösungen haben laut Kaspersky in den entdeckten Fällen die Malware blockiert. Die Angreifer konnten ihre Aktivitäten daher nicht fortsetzen. Infolgedessen bleibt das endgültige Ziel der Kriminellen unbekannt.
Empfehlungen von Kaspersky für mehr Schutz für Industrieunternehmen sind, Mitarbeiter im sicheren Umgang mit E-Mails zu schulen, damit diese insbesondere Phishing-Mails erkennen können, sowie die Ausführung von Makros in Office-Dokumenten und von PowerShell-Skripten wenn möglich zu beschränken. Außerdem sollen Unternehmen bei PowerShell-Prozessen drauf achten, welche Initiierung von Office-Anwendungen erfolgte. Nach Möglichkeit sollten Programme keine Debug-Privilegien (SeDebugPrivilege) erhalten.
Kaspersky empfiehlt zudem die Nutzung einer Sicherheitslösung, die Sicherheitsrichtlinien zentral verwalten kann und aktuelle Antiviren-Datenbanken und Softwaremodule für Sicherheitslösungen bietet. Des Weiteren sei eine dedizierte Sicherheitslösung für Endpoints und Netzwerke der Betriebstechnik nützlich, um einen umfassenden Schutz aller industriellen Systeme zu gewährleisten.
Ein weiterer Rat von Seiten Kasperskys ist es, Konten mit Domänenadministratorrechten nur mit Bedacht einzusetzen. Nach der Verwendung solcher Konten sollte ein Neustart des Systems erfolgen, auf dem die Authentifizierung durchgeführt wurde. Und schließlich sei es auch noch ratsam, bei Verdacht auf eine Infektion eine Antivirenprüfung starten zu lassen und eine Kennwortänderung für sämtliche Konten, die Nutzer zum Anmelden bei den gefährdeten Systemen verwendet haben, zu erzwingen.
Weiter Informationen finden Interessierte unter www.kaspersky.de.
Lesen Sie mehr zum Thema
