Biotech-Unternehmen sollten ihre Produktionsnetzwerke, von denen viele für die Herstellung von wichtigen Medikamenten oder Impfstoffen genutzt werden, auf Anzeichen für einen neu entdeckten, hochentwickelten Angriff zum Diebstahl von geistigem Eigentum überprüfen. Laut dem Bioeconomy Information Sharing and Analysis Center (BIO-ISAC) verbreiten sich die Tardigrade (Bärtierchen) genannten Angriffe derzeit innerhalb der Branche. Die Malware ist in hohem Maße konfigurierbar, passt sich an die Umgebung an, die sie infiziert hat, und kann autonom agieren, wenn sie vom Command-and-Control-Server der Angreifer abgeschnitten wird.
Das BIO-ISAC-Mitglied BioBright untersuchte im Frühjahr und im Oktober Angriffe auf zwei Anlagen. Beide meldeten zunächst Ransomware-Angriffe auf ihre jeweiligen Netzwerke. Dies stellt angesichts der lauten Natur von Ransomware-Angriffen, die in krassem Gegensatz zur inhärenten Heimlichkeit der Malware stehen, eine ungewöhnliche Vorgehensweise dar. BIO-ISAC hat diese Woche einige technische Details veröffentlicht und weist darauf hin, dass die Angriffe andauern. Deshalb sind insbesondere Biotechnologie-Unternehmen zu besonderer Wachsamkeit aufgerufen.
Dieser Angriff zeigt die Kreativität und die enormen Anstrengungen von Angreifern, industrielle Ziele in mehrfacher Hinsicht anzugreifen: Zum einen mit einem destruktiven Element in Form von Ransomware-Attacken, zum anderen mit einem geschickt getarnten Angriff, um geistiges Eigentum zu entwenden.
„Dieser Angriff zeigt die Kreativität und die enormen Anstrengungen von Angreifern, industrielle Ziele in mehrfacher Hinsicht anzugreifen: Zum einen mit einem destruktiven Element in Form von Ransomware-Attacken, zum anderen mit einem geschickt getarnten Angriff, um geistiges Eigentum wie Forschungsergebnisse und Produktionsgeheimnisse zu entwenden“, erklärt Max Rahner, Sales Director DACH des Industrial-Cybersecurity-Spezialisten Claroty. „Glücklicherweise ist in der Biotechnologie das Bewusstsein für industrielle Cybersicherheit nicht zuletzt aufgrund zahlreicher Compliance-Anforderungen relativ hoch. Und dennoch waren die Angreifer erfolgreich. Es ist zu befürchten, dass auch andere Branchen auf ähnliche Weise angegriffen werden, in denen das Sicherheitsniveau und die Transparenz in die eigenen Systeme noch nicht so ausgeprägt ist – mit möglicherweise gravierenden Folgen.“
Hintergrund
Tardigrade ist polymorphe Malware. Hierbei handelt es sich um eine fortschrittliche Malware-Technik, bei der sich der Code je nach Umgebung ändert, um einer Entdeckung zu entgehen. Einem Artikel in Wired zufolge sagte eine BioBright-Analystin, sie habe Dutzende von Tests mit der Malware durchgeführt, und jedes Mal sei sie anders kompiliert worden und habe immer auf unterschiedliche Weise mit den Command-and-Control-Servern kommuniziert. Wird dieser Hintertür-Zugang abgeschnitten, kann die Malware trotzdem weiterhin ihre Payloads bereitstellen. Polymorphe Malware ist fortschrittlich, aber nicht ungewöhnlich. Tardigrade zeichnet sich jedoch dadurch aus, dass es nach Angaben von BIO-ISAC in der Lage ist, seinen Loader aus dem Speicher neu zu kompilieren und keine einheitliche Signatur zu hinterlassen. Dies erschwert eine Erkennung erheblich.
Die Malware wird über zahlreiche Vektoren verbreitet, darunter Phishing-E-Mails und infizierte USB-Laufwerke. Sie verwendet als Malware-Loader SmokeLoader oder Dofoil, um Module auf kompromittierten Computern einzuschleusen, darunter Keylogger und Dienstprogramme zum Stehlen von Passwörtern. Außerdem schafft sie eine Backdoor-Verbindung, die es ermöglicht, Dateien und Befehle vom Server des Angreifers herunterzuladen, weitere Angriffsmodule zu installieren und im Netzwerk verborgen zu bleiben. Der Zweck der Angriffe ist der Diebstahl von Forschungsergebnissen und Verfahren. BioBright und BIO-ISAC gehen davon aus, dass es sich um die Arbeit einer Advanced Persistent Threat (APT)-Gruppe handelt, die wahrscheinlich von staatlicher Seite unterstützt wird.
Empfehlungen
Die Sicherheitsforscher von Claroty empfehlen zusätzlich zu den Hinweisen von BIO-ISAC folgende Maßnahmen:
- Biotech-Unternehmen sollten ihre Netzwerke umgehend auf Indikatoren einer Kompromittierung untersuchen, die auf eine Tardigrade-Infektion hindeuten.
- Eine adäquate Netzwerksegmentierung ist für Betreiber von Industrienetzwerken ein wichtiger Schritt zur Schadensbegrenzung – auch bei der Abwehr von Tardigrade. Betriebstechnik (OT)-Netzwerke sollten von Unternehmensnetzwerken (IT) segmentiert werden. Sämtliche Schnittstellen zwischen IT und OT müssen genau überwacht werden. Insbesondere sollten der Datenverkehr und OT-spezifische Protokolle überprüft werden, um abnormales Verhalten zu identifizieren.
- Transparenz beim Fernzugriff ist von größter Bedeutung. Diese Verbindungen müssen überwacht und auf anormale Aktivitäten geprüft werden. Unternehmen sollten keine geteilten Passwörter verwenden und eine Zwei-Faktor-Authentifizierung einsetzen. Zudem sollten sichere Fernzugriffslösungen nicht nur vor verdächtigen Aktivitäten warnen, sondern auch die Möglichkeit bieten, bestimmte Sitzungen entweder live oder bei Bedarf zu untersuchen. Administratoren müssen in der Lage sein, Sitzungen zu unterbrechen oder andere Maßnahmen zur Schadensbegrenzung oder -behebung zu ergreifen.
