Ransomware und Wiper: Cyberangriffe auf deutsche Windenergieunternehmen
In den vergangenen Wochen wurden mehrere große Windenergieunternehmen in Deutschland gehackt. Die Angriffe stehen zumindest in einem zeitlichen Zusammenhang mit dem russischen Angriffskrieg gegen die Ukraine - auch wenn eine eindeutige Attribution von Angriffen auf IT-Systeme immer schwierig ist.
Der Windkraftanlagen-Hersteller Nordex SE wurde am 31. März Opfer eines Cyberangriffs, in dessen Folge "verschiedene IT-Systeme in unterschiedlichen Geschäftsbereichen vorsorglich abgestellt" wurden. Um die Anlagen der Kunden zu schützen, sei der Fernüberwachungszugriff auf die Turbinen durch den Hersteller deaktiviert worden, teilte Nordex mit(öffnet im neuen Fenster) .
"Nordex-Turbinen laufen weiterhin uneingeschränkt und auch die Kommunikation der Windparks mit Netzbetreibern und Energiehändlern war und ist nicht beeinträchtigt," betonte das Unternehmen. Eine erste Untersuchung deute darauf hin, dass sich die Auswirkungen des Vorfalls auf die interne IT-Infrastruktur beschränkt hätten.
Russische Gruppe Conti hackt Windkraftanlagen-Hersteller
Nach Informationen von Golem.de ist Nordex das Opfer eines klassischen Ransomware-Angriffs in Verbindung mit einer Lösegeldforderung geworden. Demnach ist ein Mitarbeiter gegen Ende März 2022 auf eine Phishing-Mail hereingefallen und hat dabei eine Schadsoftware installiert. Das soll über eine Makro-Installation mit anschließender Passworteingabe erfolgt sein.
Nordex soll auf die Lösegeldforderung aber nicht eingegangen sein. Ein Sprecher von Nordex wollte auf Anfrage von Golem.de keine weiteren Details zu dem Angriff nennen. Dabei hatten frühere Recherchen von Golem.de bereits auf die mangelhafte Sicherheit bei Nordex hingewiesen.
Für den Angriff erklärte sich die Ransomware-Gruppe Conti verantwortlich, die sich mit Beginn des Angriffskrieges auf die Ukraine auf die Seite Russlands stellte. "Sollte sich jemand dazu entschließen, einen Cyberangriff oder irgendwelche Kriegsaktivitäten gegen Russland zu organisieren, werden wir alle unsere möglichen Ressourcen einsetzen, um die kritischen Infrastrukturen eines Feindes anzugreifen," heißt es in einem Blogeintrag der Gruppe. Daraufhin wurden interne Chatprotokolle der Ransomwaregruppe geleakt . Laut diesen scheint Conti gute Verbindungen zu russischen Behörden zu unterhalten.
Mitte April traf es dann die Deutsche Windtechnik AG , die auf die Wartung von Windkraftanlagen spezialisiert ist. Auch hier handelte es sich um einen Ransomwareangriff, wie eine Unternehmenssprecherin Golem.de bestätigte. Auch eine Woche später war das Unternehmen dabei, das operative Geschäft schrittweise wiederherzustellen.
"Wir brauchen hohe IT-Sicherheitsstandards," sagte Matthias Brandt, Geschäftsführer der Deutschen Windtechnik, dem Wall Street Journal (Paywall)(öffnet im neuen Fenster) . Die wachsende Erneuerbare-Energien-Branche werde ein größeres Ziel für Hacker. "Die Krise in Russland und der Ukraine zeigt uns, dass die erneuerbaren Energien in Zukunft Öl und Gas ersetzen werden," sagte Brandt.
Eine Untersuchung, ob auch hier die Conti-Ransomware zum Einsatz kam, läuft laut Brandt noch. Wie bei Nordex habe der Angriff auf die Deutsche Windtechnik interne Systeme betroffen, nicht aber die industriellen Systeme, die die Turbinen steuerten, erklärte Brandt.
5.800 Windräder ohne Satellitenverbindung
Bereits Ende Februar waren Tausende Windräder des Herstellers Enercon von der Satellitenkommunikation abgeschnitten . Je nach Standort sind Windkraftanlagen für die Betreiber oft nur über Satellitenkommunikation erreichbar. Laut Enercon war die Fernüberwachung und -steuerung von 5.800 Anlagen mit einer Gesamtleistung von elf Gigawatt betroffen.
Die ausgefallene Kommunikaton war dabei wohl ein Kollateralschaden nach einem Angriff auf das KA-SAT-Satellitennetzwerk des Anbieters Viasat, zu dessen Kunden auch die ukrainische Polizei und das ukrainische Militär gehören sollen. Verantwortlich für den Ausfall war laut der Sicherheitsfirma Sentinelone eine Schadsoftware , welche die Forscher Acidrain nennen.
Der Wiper hat es dabei auf die Modems der Kunden des Anbieters Viasat abgesehen und soll mehrere technische Ähnlichkeiten zu einem Wiper-Modul der Schadsoftware VPNFilter aufweisen, die vor einigen Jahren aktiv war und über 500.000 Heim- und Büromodems infizierte.
FBI und NSA ordneten die Schadsoftware damals der Hackergruppe Sandworm zu, die zum russischen Militärgeheimdienst GRU gehören soll. Die Gruppe soll auch für den Wiper Notpetya verantwortlich sein, der ursprünglich Rechner in der Ukraine infizierte, später jedoch weltweit bei Konzernen und Unternehmen zu IT-Ausfällen führte.
Nachtrag vom 29. April 2022, 10:22 Uhr
Wir haben Details zum Ransomware-Angriff auf Nordex ergänzt.