Hydro, der norwegische Aluminiumriese im Cyberangriff

(Di Alessandro Rugolo)
25/03/19

Vor einigen Tagen (19. März) wurde bekannt, dass eines der größten Aluminiumproduktionsunternehmen, die norwegische Hydro, einen Cyberangriff erlitten hat.
Der Angriff wurde mithilfe einer Ransomware durchgeführt und zielte offenbar darauf ab, ein Lösegeld zu erpressen. 
Während einer Pressekonferenz gab der Finanzvorstand des Unternehmens, Eivind Kallevik, bekannt, dass der Angriff schwerwiegend genug sei.

Es scheint, dass der Virus keine größeren Auswirkungen auf die Produktion hatte (was kaum zu glauben ist!). Tatsächlich wurden einige Systeme abgeschaltet und andere im manuellen Modus aktiviert.

Die norwegische Nationale Sicherheitsbehörde (NSM), die für die Unterstützung und Bereitstellung von Hilfe für Hydro zuständig ist, untersucht den Fall, um die Verantwortlichen für den Angriff zu identifizieren. Die verwendete Ransomware ist unter dem Namen bekannt LockerGoga und wurde im Zusammenhang mit einem direkten Angriff auf den Active Directory-Dienst eingesetzt. Aber es ist noch zu früh, um sicher zu sein, im Moment handelt es sich tatsächlich nur um Hypothesen.

Unter der Annahme, dass die ersten Annahmen zu Ransomware richtig sind, wollen wir mal sehen, was TrendMicro dazu zu sagen hat LockerGoga. Nach Angaben des Cyber-Sicherheitsunternehmens handelt es sich um Ransomware LockerGoga trat kürzlich (Januar) gegen ein französisches Ingenieurbüro, Altran Technologies, auf.

Das erste, was die Malware tut, wenn sie ein System infiziert, besteht darin, die Passwörter der Benutzer zu ändern, wodurch der Zugriff darauf unzugänglich wird. Anschließend beginnt sie mit der Verschlüsselung der Dateien auf dem System und sendet eine Lösegeldforderungsnachricht auf dem Bildschirm. Der Einsatz anderer Systeme (von der Zahlung des Lösegelds!) führt zu einer Datenkompromittierung.

Es scheint, dass LockerGoga hat im Gegensatz zu seinen Verwandten nicht die Fähigkeit, sich im Netz zu verbreiten WannaCry e Petya/NotPetyaStattdessen ist es in der Lage, die Abwehrmechanismen vieler Schutzsysteme zu überwinden (Sandkasten e Maschinelles Lernen). 
Updates können auf der TrendMicro-Website nachgelesen werden.

Einige Überlegungen:
Wieder einmal ist ein großes Unternehmen betroffen, was zeigt, dass (zumindest theoretisch) große Ressourcen keinen Schutz vor Risiken bieten. Notwendig sind eine Sicherheitsstrategie und ein umsichtiger Einsatz menschlicher und nichtmenschlicher Ressourcen.

Der Hersteller von Aluminiumteilen besetzt einen großen Teil des europäischen und amerikanischen Marktes (ca. 20 %). Der Angriff hatte Auswirkungen auf den Wert der Aktien, der größte Schaden wird jedoch vermutlich auf die Notwendigkeit zurückzuführen sein, die Produktion zu verlangsamen oder einzustellen.

Es scheint, dass die Ransomware keine Befehls- und Kontrollkette nutzt, was darauf hindeutet, dass die Malware von Hydros eigenem Netzwerk aus kontrolliert werden könnte.

Es ist noch einmal notwendig, einige Probleme hervorzuheben, die unsere hochgradig computerisierte Welt belasten, die aber noch lange nicht frei von Problemen aller Art sind.

Die erste Überlegung, die anzustellen ist und nicht mit der Tatsache selbst zusammenhängt, betrifft die Geschwindigkeit mit der die Software produziert und neue Features veröffentlicht werden, eine Geschwindigkeit, die über die Jahre immer zugenommen hat und die sicherlich nichts Gutes für eine gute Ausführung verheißt.

Der zweite betrifft die Komplexität: Häufig hat der Wunsch nach Benutzerfreundlichkeit (auf allen Ebenen, beispielsweise durch die Einführung grafischer Schnittstellen usw.) zu einem exponentiellen Anstieg der Komplexität der Software (und der Systeme im Allgemeinen) geführt, einer Komplexität, die wiederum der Feind des ordnungsgemäßen Funktionierens ist.

Die dritte Überlegung betrifft das Allgemeine Mangel an Fachwissen Im Bereich der Computersicherheit, der in der Europäischen Union oft thematisiert wird, für den es aber immer noch keine Lösung gibt, stimmt es zwar, dass die Universitätsstudiengänge im Bereich Computersicherheit zugenommen haben, aber es stimmt auch, dass eine gewisse Distanz zwischen dieser und der Industriewelt bestehen bleibt.

Schließlich erschwert der Mangel an öffentlichen Mitteln in diesem Sektor in vielen Ländern die Entwicklung eines Geflechts von Unternehmen, die in der Lage und bereit sind, ihre Sicherheitsdienste kleinen und mittleren Organisationen und Unternehmen anzubieten, und schränkt die Fähigkeit zur Kompetenzentwicklung erheblich ein Mangel an Wettbewerb.

Es wäre auch notwendig, über das enorme Wachstum der IT-Unternehmen nachzudenken und die Notwendigkeit zu hinterfragen, von ihnen mehr professionelle Seriosität bei der Veröffentlichung von Software und Systemen zu verlangen.

Zu guter Letzt ist es notwendig, ernsthaft über die Invasivität der Informationstechnologie in der heutigen Welt nachzudenken, sicherlich nicht, um zu versuchen, sie einzuschränken, was jetzt unmöglich ist, sondern zu verstehen, wie der Schaden im Falle eines Cyberangriffs begrenzt werden kann und wie eine ausreichende, alternative, nicht auf digitalen Technologien basierende Befehls- und Kontrollebene gewährleistet werden kann.

Ich stelle mir schon vor, dass jemand denkt: „Hier die Rückgabe von Papier, Stift oder Schreibmaschine und Lieferservice ... aber wo lebt das?“ Nun ja, in manchen Fällen könnte das Ding notwendig sein und um zu funktionieren, sollte es regelmäßig ausgeübt werden, um ein Wissen zu bewahren, das schwindet.

Um mehr zu erfahren:
https://www.bbc.com/news/technology-47624207
https://www.bloomberg.com/news/articles/2019-03-19/hydro-says-victim-of-...
https://www.reuters.com/article/us-norsk-hydro-cyber-security/norway-say...
https://www.thelocal.no/20190322/norways-norsk-hydro-hit-by-ransom-cyber...
https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/what-you...