Triton: Schadsoftware kann Kraftwerke beschädigen

Die Schadsoftware Triton hat es auf die Sicherheitsprozesse in Kraftwerken und anderer kritischer Infrastruktur abgesehen. Über diese lassen sich Ventile steuern oder eine Notabschaltung auslösen. Schlimme Unfälle könnten die Folge sein.

Artikel veröffentlicht am ,
Schadsoftware kann kritische Infrastruktur, wie etwa ein Kraftwerk, sabotieren.
Schadsoftware kann kritische Infrastruktur, wie etwa ein Kraftwerk, sabotieren. (Bild: wickelbock9/Pixabay)

Das Sicherheitsunternehmen Fireeye hat mehrere Installationen der hochentwickelten und vermutlich staatlichen Schadsoftware Triton, auch Tritis genannt, entdeckt und analysiert. Diese richtet sich gegen kritische Infrastrukturen und nistet sich in deren Sicherheitsprozessen ein - in einem Kraftwerk sind diese beispielsweise für das Öffnen und Schließen von Ventilen zuständig, wenn eine kritische Temperatur erreicht wird. Die Schadsoftware habe es nicht auf Spionage abgesehen, sondern könne kritische Infrastruktur sabotieren und beschädigen, heißt es in einem Bericht des Onlinemagazins Arstechnica.

Stellenmarkt
  1. (Senior) Designer (w/m/d) - User Experience (UX) / User Interface (UI)
    The Capital Markets Company GmbH, Berlin, Frankfurt
  2. People Competence Manager (m/w/d)
    Schaeffler Technologies AG & Co. KG, Nürnberg
Detailsuche

Sobald die Angreifer Zugang zum internen Netz des Anlagenbetreibers hatten, hätten sie nach den Steuerungen gesucht, um diese zu infizieren, schreibt Fireeye. Spionagetools wie Keylogger und Screenshotgrabber hätten die Angreifer nicht installiert, vielmehr sei es ihnen darum gegangen, mit Hilfe der Schadsoftware Triton Backdoors zu den sensiblen Steuerungen der Anlagen einzurichten. Diese Safety Instrumented Systems (SIS) schützen Kraftwerke vor kritischen Zuständen, indem sie beispielsweise Kühlungsprozesse triggern oder Ventile öffnen, um Druck abzubauen. Über diese hätte die Anlage physisch beschädigt werden - und damit lebensgefährliche Unfälle erzeugen können.

Fireeye veröffentlichte Ende 2017 einen ähnlichen Angriff. Dieser zielte auf die dort verbaute Triconex-Steuerung von Schneider Electric, die unter anderem eine Notabschaltung der Anlage auslösen konnte. Wahrscheinlich löste der Angriff diesen versehentlich aus - und war damit verantwortlich für einen Stromausfall im November 2017.

Triton-Gruppe seit 2014 aktiv

Die Angreifer hätten ihre Schadsoftware für das jeweilige Ziel angepasst. Die Gruppe hinter der Schadsoftware Triton sei bereits seit mindestens 2014 aktiv. Fireeye ordnet die Angriffe auf Basis mehrerer Indizien Russland zu. Beispielsweise könnte die Arbeit an dem Tool der Zeitzone in Moskau zugeordnet werden. Die Zuordnung von Schadsoftware zu einem (staatlichen) Akteur ist kompliziert und kann selten mit Sicherheit erfolgen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Größere Bekanntheit erlangte die Schadsoftware Stuxnet, die es ebenfalls auf kritische Infrastruktur abgesehen hatte: Sie verbreitete sich über USB-Sticks und manipulierte die Zentrifugen in einer iranischen Atom-Anlage. Auch das Stromnetz der Ukraine wurde mehrfach durch Schadsoftware lahmgelegt.

Auf die Steuerungen von Klär- und Wasserwerken in Deutschland konnte zum Teil erheblich einfacher zugegriffen werden: Die über das Internet erreichbaren Weblogins der Steuerungen präsentierten zum Teil den vorausgefüllten Benutzernamen. Dieser war identisch mit dem Passwort.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Probefahrt mit EQS
Mercedes schüttelt Tesla ab, aber nicht die Klimakrise

Der neue EQS von Mercedes-Benz widerlegt die Argumente vieler Elektroauto-Gegner. Auch die Komforttüren gefallen uns.
Ein Bericht von Friedhelm Greis

Probefahrt mit EQS: Mercedes schüttelt Tesla ab, aber nicht die Klimakrise
Artikel
  1. Polizei: 1.600 Verdächtige sollen Kinderpornos geteilt haben
    Polizei
    1.600 Verdächtige sollen Kinderpornos geteilt haben

    Über mehrere Messenger-Gruppen hinweg hat die Polizei Verdächtige ermittelt, die Kinderpornos geteilt haben sollen.

  2. E-Scooter: Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt
    E-Scooter
    Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt

    Mit einer Tages- oder Monatskarte des E-Scooter-Anbieters Voi sollen Nutzer so viel fahren können, wie sie wollen - können sie aber nicht.

  3. Datenbank: Facebook braucht schon Jahre für MySQL-Update
    Datenbank
    Facebook braucht schon Jahre für MySQL-Update

    Das Update von MySQL 5.6 auf das aktuelle 8.0 laufe bei Facebook wegen vieler Probleme schon seit "einigen Jahren" und ist noch nicht fertig.


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • ASUS TUF VG279QM 280 Hz 306,22€ • Fractal Design Meshify C Mini 69,90€ • Acer Nitro XF243Y 165Hz OC ab 169€ • Samsung C24RG54FQR 125€ • EA-Promo bei Gamesplanet • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /