Industroyer / CrashOverride
Was ist Industroyer / CrashOverride?
Industroyer / CrashOverrideModulares ICS-Malware-Framework, eingesetzt 2016 gegen das ukrainische Stromnetz und 2022 als Industroyer2 wiederaufgetaucht — spricht native Netzprotokolle.
Industroyer (auch CrashOverride) ist ein modulares ICS-Malware-Framework, das im Dezember 2016 erstmals gegen ein Übertragungs-Umspannwerk in Kiew eingesetzt wurde und einen rund einstündigen Stromausfall verursachte. Anders als frühere Grid-Angriffe implementierte Industroyer IEC 60870-5-101, IEC 60870-5-104, IEC 61850 und OPC DA direkt und kam mit einem DoS-Modul gegen Siemens SIPROTEC, um native Befehle an RTUs, IEDs und Schutzrelais zu senden. ESET, Dragos und mehrere westliche Regierungen schreiben Industroyer der russischen GRU-Gruppe Sandworm zu. Ein Nachfolger, Industroyer2, wurde im April 2022 bei einem versuchten Angriff auf einen ukrainischen Energieversorger entdeckt. Das Framework zeigt eindrücklich, dass Angreifer wiederverwendbare, protokollkundige ICS-Werkzeuge bauen können.
● Beispiele
- 01
IEC-60870-5-104-Befehle öffnen Leistungsschalter in einem ukrainischen Umspannwerk.
- 02
Ein SIPROTEC-DoS-Modul lässt Schutzrelais während des Angriffs abstürzen.
● Häufige Fragen
Was ist Industroyer / CrashOverride?
Modulares ICS-Malware-Framework, eingesetzt 2016 gegen das ukrainische Stromnetz und 2022 als Industroyer2 wiederaufgetaucht — spricht native Netzprotokolle. Es gehört zur Kategorie OT / ICS / IoT der Cybersicherheit.
Was bedeutet Industroyer / CrashOverride?
Modulares ICS-Malware-Framework, eingesetzt 2016 gegen das ukrainische Stromnetz und 2022 als Industroyer2 wiederaufgetaucht — spricht native Netzprotokolle.
Wie funktioniert Industroyer / CrashOverride?
Industroyer (auch CrashOverride) ist ein modulares ICS-Malware-Framework, das im Dezember 2016 erstmals gegen ein Übertragungs-Umspannwerk in Kiew eingesetzt wurde und einen rund einstündigen Stromausfall verursachte. Anders als frühere Grid-Angriffe implementierte Industroyer IEC 60870-5-101, IEC 60870-5-104, IEC 61850 und OPC DA direkt und kam mit einem DoS-Modul gegen Siemens SIPROTEC, um native Befehle an RTUs, IEDs und Schutzrelais zu senden. ESET, Dragos und mehrere westliche Regierungen schreiben Industroyer der russischen GRU-Gruppe Sandworm zu. Ein Nachfolger, Industroyer2, wurde im April 2022 bei einem versuchten Angriff auf einen ukrainischen Energieversorger entdeckt. Das Framework zeigt eindrücklich, dass Angreifer wiederverwendbare, protokollkundige ICS-Werkzeuge bauen können.
Wie schützt man sich gegen Industroyer / CrashOverride?
Schutzmaßnahmen gegen Industroyer / CrashOverride kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Industroyer / CrashOverride?
Übliche alternative Bezeichnungen: CrashOverride, Industroyer2.
● Verwandte Begriffe
- ot-iot№ 529
Industrielles Steuerungssystem (ICS)
Sammelbegriff für Systeme zur Automatisierung und Überwachung industrieller Prozesse, darunter SCADA, DCS, SPS, RTU und Sicherheitssteuerungen.
- ot-iot№ 972
SCADA
Supervisory-Control-and-Data-Acquisition-Systeme, die Telemetrie aus entfernten Feldgeräten sammeln und Bedienern Überwachung und Steuerung großer Anlagen ermöglichen.
- ot-iot№ 334
DNP3
Distributed Network Protocol 3 — ein ereignisgesteuertes ICS-Protokoll, das in Energieversorgung, Wasser und Öl/Gas zwischen SCADA-Mastern und Außenstationen eingesetzt wird.
- ot-iot№ 1111
Stuxnet
Hochkomplexer Wurm aus dem Jahr 2010, der durch Umprogrammierung von Siemens-SPS Irans Urananreicherungszentrifugen sabotierte und den USA und Israel zugeschrieben wird.
- ot-iot№ 1174
TRITON / TRISIS
2017 entdeckte Schadsoftware gegen Triconex-Sicherheitssteuerungen von Schneider in einer saudischen Petrochemieanlage; einem russlandnahen Akteur zugeordnet.
- ot-iot№ 762
Operational Technology (OT)
Hardware und Software, die physische Prozesse, Geräte und Infrastrukturen wie Fabriken, Kraftwerke und Versorgungsunternehmen überwachen und steuern.
● Siehe auch
- № 966Sandworm Team