Die US-Regierung hat am Donnerstag eine Cybersecurity-Beratung veröffentlicht, in der mehrere von staatlichen russischen Cyber-Akteuren zwischen 2011 und 2018 durchgeführte Einbruchskampagnen beschrieben werden, die den Energiesektor in den USA und darüber hinaus zum Ziel hatten.
„Der [Bundessicherheitsdienst] führte eine mehrstufige Kampagne durch, bei der er sich Fernzugriff auf die Netzwerke des US-amerikanischen und internationalen Energiesektors verschaffte, ICS-fokussierte Malware einsetzte und Unternehmens- und ICS-bezogene Daten sammelte und exfiltrierte“, so die US-Regierung, die die Angriffe einem APT-Akteur namens Energetic Bear zuschreibt.
Darüber hinaus hat das Justizministerium vier russische Regierungsangestellte, darunter drei Beamte des russischen Föderalen Sicherheitsdienstes und einen Computerprogrammierer des Zentralen Wissenschaftlichen Forschungsinstituts für Chemie und Mechanik (TsNIIKhM), für ihre Rolle bei der Durchführung der Angriffe auf Ölraffinerien, Atomanlagen und Energieunternehmen angeklagt.
Bei den vier russischen Staatsangehörigen handelt es sich um Pavel Aleksandrovich Akulov (36), Mikhail Mikhailovich Gavrilov (42), Marat Valeryevich Tyukov (39) und Evgeny Viktorovich Gladkikh (36). Da es aber kein Auslieferungsabkommen zwischen den USA und Russland gibt, sind die Chancen, dass die vier Personen in den USA vor Gericht gestellt werden, gering.
Die sieben Jahre andauernde globale Kampagne im Energiesektor soll sich Spear-Phishing-E-Mails, trojanisierte Software-Updates und Weiterleitungen zu betrügerischen Websites (auch „Watering Holes“ genannt) zunutze gemacht haben, um sich einen ersten Zugang zu verschaffen und diesen zu nutzen, um Remote-Access-Trojaner wie Havex auf kompromittierten Systemen zu installieren.
Bei den Angriffen auf den Energiesektor, die in zwei Phasen stattfanden, wurde zwischen 2012 und 2014 Malware auf schätzungsweise 17.000 einzelnen Geräten in den USA und im Ausland installiert. Von 2014 bis 2017 wurden außerdem 3.300 Nutzer in mehr als 500 amerikanischen und internationalen Unternehmen und Einrichtungen angegriffen.
Die Sicherheitsbehörden beschreiben auch eine Kampagne aus dem Jahr 2017, die von Cyber-Akteuren mit Verbindungen zu TsNIIKhM mit dem Ziel durchgeführt wurde, die industriellen Kontrollsysteme einer ungenannten Ölraffinerie im Nahen Osten zu manipulieren, indem eine Malware namens TRITON eingesetzt wurde.
„TRITON wurde speziell für die Triconex Tricon Sicherheitssysteme von Schneider Electric entwickelt und ist in der Lage, diese Systeme zu stören“, so die Cybersecurity and Infrastructure Security Agency (CISA), das Federal Bureau of Investigation (FBI) und das Department of Energy (DOE).
Insgesamt sollen die Hacking-Kampagnen Tausende von Computern in Hunderten von Unternehmen und Organisationen in etwa 135 Ländern angegriffen haben, so das FBI.
„Das Potenzial von Cyberangriffen, die Bereitstellung kritischer Energiedienstleistungen für Krankenhäuser, Haushalte, Unternehmen und andere Orte, die für die Aufrechterhaltung unserer Gemeinschaften wichtig sind, zu stören, wenn nicht gar lahmzulegen, ist in der heutigen Welt Realität“, sagte der US-Staatsanwalt Duston Slinkard für den Bezirk Kansas. „Wir müssen erkennen, dass es Personen gibt, die aktiv versuchen, die lebenswichtige Infrastruktur unserer Nation zu zerstören, und wir müssen wachsam bleiben, um solche Angriffe zu vereiteln.