Home » News » Cybersecurity » Industroyer2: Angriffe auf ukrainische Energiewirtschaft

Industroyer2: Angriffe auf ukrainische Energiewirtschaft

Umspannwerke in der Ukraine werden angegriffen. Ziel der Hacker ist die Stilllegung der Infrastruktur.

1 Min. Lesezeit
Eine weite Ansicht eines Umspannwerks mit Metallstrukturen, Drähten und Isolatoren unter blauem Himmel bei Sonnenuntergang. Inmitten des anhaltenden Ukrainekriegs wirft die Sonne einen warmen Schein und bildet einen ergreifenden Kontrast zu den Silhouetten der Anlagen und Stromleitungen.
©Adobe Stock/Sitthikorn

Umspannwerke in der Ukraine werden angegriffen. Ziel der Hacker ist die Stilllegung der Infrastruktur. Forscher vermuten mit hoher Sicherheit die APT-Gruppe Sandworm hinter den neuesten Attacken.

ESET-Forscher haben eng mit dem ukrainischen CERT zusammengearbeitet, um das Netzwerk des Unternehmens zu schützen. Hierbei gelang die Entdeckung einer neuen Variante der Industroyer-Malware, welche die Experten nun als Industroyer2 bezeichnen. Industroyer ist ein berüchtigtes Schadprogramm, das bereits 2016 von der APT-Gruppe Sandworm eingesetzt wurde, um die Stromversorgung in der Ukraine zu unterbrechen.

„Die Ukraine steht wieder einmal im Mittelpunkt von Cyberangriffen auf ihre kritische Infrastruktur. Diese neue Industroyer-Kampagne folgt auf mehrere Wellen von Wipern, die es auf verschiedene Sektoren in der Ukraine abgesehen haben“, erklärt Thorsten Urbanski, Sicherheitsexperte bei ESET. „Wir werden die Bedrohungslandschaft weiterhin beobachten, um Unternehmen vor dieser Art von zerstörerischen Angriffen zu schützen.“

Zusätzlich zu Industroyer2 verwendete die Sandworm-Gruppe mehrere destruktive Malware-Familien, darunter CaddyWiper, ORCSHRED, SOLOSHRED und AWFULSHRED. CaddyWiper kam erstmals Mitte März zum Einsatz, als es gegen eine ukrainische Bank verwendet wurde. Eine Variante von CaddyWiper wurde am 8. April gegen den bereits erwähnten ukrainischen Energieversorger eingesetzt.

Wer ist Sandworm?

Den Namen „Sandworm“ wählten die Sicherheitsforscher von iSIGHT Partners, die 2014 in den Binaries der BlackEnergy-Malware Hinweise auf Frank Herberts Roman „Dune“ entdeckten. Zu dieser Zeit präsentierten ESET-Forscher auf einer Virus-Bulletin-Konferenz ihre Erkenntnisse über mehrere gezielte BlackEnergy-Angriffe in der Ukraine und in Polen.

Zwar gab es einige Spekulationen darüber, dass es sich bei Sandworm um eine aus Russland heraus agierende Gruppe handeln müsse. Aber es dauerte bis ins Jahr 2020, bis das US-Justizministerium Sandworm konkret als die Militäreinheit 74455 der Hauptverwaltung für Aufklärung (GRU) des russischen Militärnachrichtendienstes identifizierte. Dieser soll in einem Gebäude im Moskauer Stadtteil Chimki residieren, welches umgangssprachlich „der Turm“ genannt wird.

Die ESET-Forscher aktualisieren fortlaufend den Blog-Artikel zum Industroyer2 auf WeLiveSecurity.

Weitere Informationen gibt es auch auf der Webseite des CERT-UA.

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Golden leuchtende cloud mit Cybersecurity-Symbol

Wer die Schlüssel nicht kontrolliert, verliert die Datenhoheit

Der DORA Oversight Guide macht klar: Finanzunternehmen müssen vollständige Kontrolle über ihre Verschlüsselung und Schlüssel nachweisen – auch bei Cloud-Diensten wie Microsoft oder...

Moderne Darstellung eines Bankraubs

140 Millionen durch einen Klick: Vom Angriff zum Zugriff

Ein Mausklick statt Masken, ein Datenleck statt Dynamit: Der digitale Bankraub von heute benötigt keinen Brecheisen mehr – nur Zugangsdaten. Der jüngste Fall eines durch Bestechung...

Hacker mit Smartphone

Neue Konfety-Variante täuscht Android-Nutzer und Sicherheitstools

Sie gibt sich harmlos, agiert heimlich und nutzt moderne ZIP-Manipulationen, um sich jeder Entdeckung zu entziehen: Eine neue Variante der Android-Malware Konfety setzt Maßstäbe in...