Es kommt nicht oft vor, dass bösartiger Code entdeckt wird, der versucht, direkt in industrielle Steuerungssysteme einzugreifen, also in jene Computer, welche digitale und physische Systeme miteinander verbinden. Häufig wird die eingesetzte Malware öfter als einmal eingesetzt. So hat beispielsweise diese Art von Schadsoftware im Iran Nuklearanreicherungszentrifugen zerstört und zugleich in der Ukraine einen Stromausfall verursacht. Nun ist ein Malware-Exemplar aufgetaucht, das spezifisches Wissen über Kontrollsysteme nutzt, um sie mit einer weitaus stumpferen und bekannteren Taktik zu bekämpfen: Die Softwareprozesse des Ziels zu vernichten, die zugrunde liegenden Daten zu verschlüsseln und den Entschlüsselungscode zurückzuhalten.
Ein erst kürzlich entdeckter Trojaner ist EKANS, welcher speziell auf industrielle Steuerungssysteme und deren Software und Hardware, die in allen Bereichen von Ölraffinerien über Stromnetze bis hin zu Produktionsanlagen eingesetzt werden, ausgerichtet ist. Ähnlich wie andere Ransomware verschlüsselt EKANS Daten und zeigt den Opfern eine Notiz an, in der die Zahlung für die Freigabe der Daten verlangt wird. Jedoch kann EKANS weitaus mehr: Es ist darauf ausgelegt, 64 verschiedene Softwareprozesse auf den Opfercomputern zu beenden. Darunter befinden sich viele, die spezifisch für industrielle Steuerungssysteme sind. Dadurch kann es dann die Daten verschlüsseln, mit denen diese Steuerungssystemprogramme interagieren. Im Vergleich zu anderer Malware, die speziell für industrielle Sabotagezwecke entwickelt wurde, ist dies ein grober Schlag gegen die Software, die zur Überwachung kritischer Infrastrukturen (KRITIS) eingesetzt wird, wie etwa die Pipelines einer Ölfirma. Das kann gefährliche Folgen haben. Ist beispielsweise die Fernüberwachung nicht mehr möglich, könnten im Falle einer Störung Maschinen dauerhaft beschädigt werden, was neben hohen Kosten auch umwelttechnische Gefahren birgt.
Vom MalwareHunterTeam entdeckt und vom Forscher Vitali Kremez im Januar in Bleeping Computer beschrieben, wird EKANS „zahlreiche Prozesse im Zusammenhang mit SCADA-Systemen, virtuellen Maschinen, industriellen Steuerungssystemen, Fernverwaltungstools, Netzwerkmanagementsoftware und mehr beenden“. Es könnte sich bei EKANS um den Nachfolger von der als MegaCortex bezeichneten Ransomware handeln, welche dieselben prozessabtötenden Eigenschaften industrieller Steuerungssysteme besitzt. Da MegaCortex aber auch Hunderte von anderen Prozessen beendet hat, wurden seine auf industrielle Steuerungssysteme ausgerichteten Funktionen weitgehend übersehen. EKANS wie auch MegaCortex treffen die technischen Eingeweide industrieller Steuerungssysteme. Bisher sind keine konkreten EKANS-Opfer bekannt, dennoch würde ein Angriff auf eine kritische Infrastruktur eine Gefahr für Umwelt und Bevölkerung darstellen.
Sollte es sich bei EKANS nicht um das Werk von staatlich geförderten Hackern handeln, dann würde es weiter an Bedeutung gewinnen. Zusammen mit MegaCortex wäre es der erste Angriff auf ein industrielles Kontrollsystem, der von nichtstaatlichen Cyberkriminellen durchgeführt wird. Schließlich war die ICS-Malware in der Vergangenheit auf hoch entwickelte Geheimdienste beschränkt, wie die NSA und israelische Geheimdiensthacker, um das 2007 begonnene iranische Nuklearanreicherungsprogramm zu sabotieren, oder die russischen Sandwurm-Hacker, die ein automatisiertes Tool namens Industroyer oder Crash Override nutzten, um 2016 den Strom in Kiew abzuschalten.
#Forescout