Triton: Schadsoftware kann Kraftwerke beschädigen

Die Schadsoftware Triton hat es auf die Sicherheitsprozesse in Kraftwerken und anderer kritischer Infrastruktur abgesehen. Über diese lassen sich Ventile steuern oder eine Notabschaltung auslösen. Schlimme Unfälle könnten die Folge sein.

Artikel veröffentlicht am ,
Schadsoftware kann kritische Infrastruktur, wie etwa ein Kraftwerk, sabotieren.
Schadsoftware kann kritische Infrastruktur, wie etwa ein Kraftwerk, sabotieren. (Bild: wickelbock9/Pixabay)

Das Sicherheitsunternehmen Fireeye hat mehrere Installationen der hochentwickelten und vermutlich staatlichen Schadsoftware Triton, auch Tritis genannt, entdeckt und analysiert. Diese richtet sich gegen kritische Infrastrukturen und nistet sich in deren Sicherheitsprozessen ein - in einem Kraftwerk sind diese beispielsweise für das Öffnen und Schließen von Ventilen zuständig, wenn eine kritische Temperatur erreicht wird. Die Schadsoftware habe es nicht auf Spionage abgesehen, sondern könne kritische Infrastruktur sabotieren und beschädigen, heißt es in einem Bericht des Onlinemagazins Arstechnica.

Stellenmarkt
  1. Frontend Engineer (w/m/d) bei ARD Online
    SWR Südwestrundfunk Anstalt des öffentlichen Rechts, Mainz
  2. Business Analyst / Process Designer (f/m/d)
    NEXPLORE Technology GmbH, Essen
Detailsuche

Sobald die Angreifer Zugang zum internen Netz des Anlagenbetreibers hatten, hätten sie nach den Steuerungen gesucht, um diese zu infizieren, schreibt Fireeye. Spionagetools wie Keylogger und Screenshotgrabber hätten die Angreifer nicht installiert, vielmehr sei es ihnen darum gegangen, mit Hilfe der Schadsoftware Triton Backdoors zu den sensiblen Steuerungen der Anlagen einzurichten. Diese Safety Instrumented Systems (SIS) schützen Kraftwerke vor kritischen Zuständen, indem sie beispielsweise Kühlungsprozesse triggern oder Ventile öffnen, um Druck abzubauen. Über diese hätte die Anlage physisch beschädigt werden - und damit lebensgefährliche Unfälle erzeugen können.

Fireeye veröffentlichte Ende 2017 einen ähnlichen Angriff. Dieser zielte auf die dort verbaute Triconex-Steuerung von Schneider Electric, die unter anderem eine Notabschaltung der Anlage auslösen konnte. Wahrscheinlich löste der Angriff diesen versehentlich aus - und war damit verantwortlich für einen Stromausfall im November 2017.

Triton-Gruppe seit 2014 aktiv

Die Angreifer hätten ihre Schadsoftware für das jeweilige Ziel angepasst. Die Gruppe hinter der Schadsoftware Triton sei bereits seit mindestens 2014 aktiv. Fireeye ordnet die Angriffe auf Basis mehrerer Indizien Russland zu. Beispielsweise könnte die Arbeit an dem Tool der Zeitzone in Moskau zugeordnet werden. Die Zuordnung von Schadsoftware zu einem (staatlichen) Akteur ist kompliziert und kann selten mit Sicherheit erfolgen.

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    06./07.02.2023, virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    02./03.03.2023, Virtuell
Weitere IT-Trainings

Größere Bekanntheit erlangte die Schadsoftware Stuxnet, die es ebenfalls auf kritische Infrastruktur abgesehen hatte: Sie verbreitete sich über USB-Sticks und manipulierte die Zentrifugen in einer iranischen Atom-Anlage. Auch das Stromnetz der Ukraine wurde mehrfach durch Schadsoftware lahmgelegt.

Auf die Steuerungen von Klär- und Wasserwerken in Deutschland konnte zum Teil erheblich einfacher zugegriffen werden: Die über das Internet erreichbaren Weblogins der Steuerungen präsentierten zum Teil den vorausgefüllten Benutzernamen. Dieser war identisch mit dem Passwort.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Amazon Shopper Panel
Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
Artikel
  1. Vodafone und Telekom: LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre
    Vodafone und Telekom
    LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre

    Laut Senatsverwaltung kam der Ausbau der Base-Transceiver-Station-Hotels nicht wie geplant voran. Nicht nur die Kunden von Vodafone und Telekom haben das Nachsehen.

  2. Northrop Grumman: B21 Raider als erster digitaler Bomber vorgestellt
    Northrop Grumman
    B21 Raider als erster digitaler Bomber vorgestellt

    Northrop Grumman hat mit dem B-21 Raider eine neuen Tarnkappenbomber vorgestellt. Dabei kamen agile Softwareentwicklung und digitales Engineering zum Einsatz.

  3. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /