Meldung

Malware greift Biotechnologie-Unternehmen an

Biotech-Unternehmen sollten ihre Produktionsnetzwerke, von denen viele für die Herstellung von wichtigen Medikamenten oder Impfstoffen genutzt werden, auf Anzeichen für einen neu entdeckten, hochentwickelten Angriff zum Diebstahl von geistigem Eigentum überprüfen. Die zugrundeliegende Malware zeigt sich flexibel und agiert autonom, also auch ohne Command-and-Control-Server.
Laut dem Bioeconomy Information Sharing and Analysis Center (BIO-ISAC) verbreiten sich die "Tardigrade" (Bärtierchen) genannten Angriffe derzeit innerhalb der Branche. Die Malware ist in hohem Maße konfigurierbar, passt sich an die Umgebung an, die sie infiziert hat, und kann autonom agieren, wenn sie vom Command-and-Control-Server der Angreifer abgeschnitten wird.

Das BIO-ISAC-Mitglied BioBright untersuchte im Frühjahr und im Oktober Angriffe auf zwei Anlagen. Beide meldeten zunächst Ransomware-Angriffe auf ihre jeweiligen Netzwerke. Dies stellt angesichts der lauten Natur von Ransomware-Angriffen, die in krassem Gegensatz zur inhärenten Heimlichkeit der Malware stehen, eine ungewöhnliche Vorgehensweise dar. BIO-ISAC hat diese Woche einige technische Details veröffentlicht und weist darauf hin, dass die Angriffe andauern. Deshalb seien insbesondere Biotechnologie-Unternehmen zu besonderer Wachsamkeit aufgerufen.

"Dieser Angriff zeigt die Kreativität und die enormen Anstrengungen von Angreifern, industrielle Ziele in mehrfacher Hinsicht anzugreifen: Zum einen mit einem destruktiven Element in Form von Ransomware-Attacken, zum anderen mit einem geschickt getarnten Angriff, um geistiges Eigentum wie Forschungsergebnisse und Produktionsgeheimnisse zu entwenden", erklärt Max Rahner, Sales Director DACH des Industrial-Cybersecurity-Spezialisten Claroty [1].

"Glücklicherweise ist in der Biotechnologie das Bewusstsein für industrielle Cybersicherheit nicht zuletzt aufgrund zahlreicher Compliance-Anforderungen relativ hoch. Und dennoch waren die Angreifer erfolgreich. Es ist zu befürchten, dass auch andere Branchen auf ähnliche Weise angegriffen werden, in denen das Sicherheitsniveau und die Transparenz in die eigenen Systeme noch nicht so ausgeprägt ist – mit möglicherweise gravierenden Folgen."

Fortschrittliche und flexible Malware
Tardigrade ist polymorphe Malware. Hierbei handelt es sich um eine fortschrittliche Malware-Technik, bei der sich der Code je nach Umgebung ändert, um einer Entdeckung zu entgehen. Einem Artikel in Wired [2] zufolge sagte eine BioBright-Analystin, sie habe Dutzende von Tests mit der Malware durchgeführt, und jedes Mal sei sie anders kompiliert worden und habe immer auf unterschiedliche Weise mit den Command-and-Control-Servern kommuniziert.

Wird dieser Hintertür-Zugang abgeschnitten, kann die Malware trotzdem weiterhin ihre Payloads bereitstellen. Polymorphe Malware ist fortschrittlich, aber nicht ungewöhnlich. Tardigrade zeichnet sich jedoch dadurch aus, dass es nach Angaben von BIO-ISAC in der Lage ist, seinen Loader aus dem Speicher neu zu kompilieren und keine einheitliche Signatur zu hinterlassen. Dies erschwert eine Erkennung erheblich.

Multiple Infektionsvektoren
Die Malware wird über zahlreiche Vektoren verbreitet, darunter Phishing-E-Mails und infizierte USB-Laufwerke. Sie verwendet als Malware-Loader "SmokeLoader" oder "Dofoil", um Module auf kompromittierten Computern einzuschleusen, darunter Keylogger und Dienstprogramme zum Stehlen von Passwörtern. Außerdem schafft sie eine Backdoor-Verbindung, die es ermöglicht, Dateien und Befehle vom Server des Angreifers herunterzuladen, weitere Angriffsmodule zu installieren und im Netzwerk verborgen zu bleiben.

Der Zweck der Angriffe ist der Diebstahl von Forschungsergebnissen und Verfahren. BioBright und BIO-ISAC gehen davon aus, dass es sich um die Arbeit einer Advanced Persistent Threat (APT)-Gruppe handelt, die wahrscheinlich von staatlicher Seite unterstützt wird. Die Sicherheitsforscher von Claroty empfehlen zusätzlich zu den Hinweisen von BIO-ISAC folgende Maßnahmen:
  • Biotech-Unternehmen sollten ihre Netzwerke umgehend auf Indikatoren einer Kompromittierung untersuchen, die auf eine Tardigrade-Infektion hindeuten.
  • Eine adäquate Netzwerksegmentierung ist für Betreiber von Industrienetzwerken ein wichtiger Schritt zur Schadensbegrenzung – auch bei der Abwehr von Tardigrade. Betriebstechnik (OT)-Netzwerke sollten von Unternehmensnetzwerken (IT) segmentiert werden. Sämtliche Schnittstellen zwischen IT und OT müssen genau überwacht werden. Insbesondere sollten der Datenverkehr und OT-spezifische Protokolle überprüft werden, um abnormales Verhalten zu identifizieren.
  • Transparenz beim Fernzugriff ist von größter Bedeutung. Diese Verbindungen müssen überwacht und auf anormale Aktivitäten geprüft werden. Unternehmen sollten keine geteilten Passwörter verwenden und eine Zwei-Faktor-Authentifizierung einsetzen. Zudem sollten sichere Fernzugriffslösungen nicht nur vor verdächtigen Aktivitäten warnen, sondern auch die Möglichkeit bieten, bestimmte Sitzungen entweder live oder bei Bedarf zu untersuchen. Administratoren müssen in der Lage sein, Sitzungen zu unterbrechen oder andere Maßnahmen zur Schadensbegrenzung oder -behebung zu ergreifen.
26.11.2021/dr

Tipps & Tools

Schwachstellen in GPS-Trackern [2.08.2022]

Sicherheitsforscher von BitSight fanden sechs Schwachstellen in GPS-Trackern des Herstellers MiCODUS. Sie ermöglichen es Hackern unter anderem, den Standort von Personen ohne deren Wissen nachzuverfolgen, Flotten von Liefer- und Einsatzfahrzeugen aus der Ferne zu deaktivieren, und zivile Fahrzeuge auf Autobahnen abrupt anzuhalten. [mehr]

Download der Woche: Metasploit Framework [27.07.2022]

Kenne deinen Gegner. Die alte Weisheit, dass Sie als Admin wie ein Hacker denken müssen, hat mehr denn je Gültigkeit. Erkennen Sie die eigenen Schwachpunkte frühzeitig, sind Sie den Bösewichten einen Schritt voraus. Hier kann Ihnen das Open-Source-Projekt "Metasploit Framework" Hilfe leisten. Mit dem Werkzeug machen Sie Sicherheitslücken in Ihren Netzwerken ausfindig. [mehr]

Fachartikel

Advertorial: E-Book OPNsense – Mehr als eine Firewall [31.07.2022]

Als leicht bedienbare Security-Plattform findet die Open Source Firewall OPNsense in immer mehr Unternehmen Anwendung. Aber OPNsense punktet nicht nur durch hohe Zugänglichkeit und den Wegfall von Lizenzkosten: Dank seines modularen Aufbaus integriert es die besten Open-Source-Sicherheitslösungen unter einer einheitlichen Oberfläche und überzeugt so mit einem Funktionsumfang, der viele kostenpflichtige Lösungen übertrifft. Im neuen E-Book "OPNsense – Mehr als eine Firewall" der Thomas-Krenn.AG und ihrem Partner m.a.x. it finden Sie alle Informationen zum Einstieg in OPNsense und für die Grundabsicherung eines Unternehmensnetzes. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen