Kaspersky Lab ordnete den Lotus-Wiper-Angriff keinem Akteur zu und nannte auch das Opfer nicht; das Unternehmen lehnte weitere Auskünfte zu seiner Untersuchung und zur Herkunft des Angriffs ab.

Der zeitliche Ablauf des Lotus Wiper deckt sich allerdings mit einem Cyberangriff auf Petróleos de Venezuela SA (PDVSA), den staatlichen Öl- und Gaskonzern, der im Dezember nach einem mutmaßlichen Ransomware-Angriff am 13. Dezember Störungen erlitt. Das Unternehmen machte die USA für den Angriff verantwortlich und erklärte, der Betrieb sei nicht beeinträchtigt worden – unabhängigen Berichten zufolge stockte jedoch die Beladung von Tankern mit Erdöl.

In einem Kommuniqué vom 15. Dezember bezeichnete PDVSA den Vorfall als Teil einer „öffentlichen Strategie der US-Regierung, venezolanisches Öl mit Gewalt und Piraterie an sich zu reißen“; die Arbeiterschaft der Branche habe Angriffe dieser Art bereits in der Vergangenheit erlebt und es ihrem Engagement und ihrer Sachkenntnis zu verdanken, dass auch dieser neue Angriff erkannt und neutralisiert worden sei. Die Domain des Unternehmens, pdvsa.com, war Teil der Nutzlast der Dateien und weist es damit als angegriffene Organisation aus, ergänzt Collin Hogue-Spears, Senior Director bei der Anwendungssicherheitsfirma Black Duck.

Der Angriff reiht sich nach Einschätzung der befragten Fachleute in eine Reihe datenlöschender Cyberattacken ein, die mit realen Konflikten zwischen Staaten verknüpft sind. Hogue-Spears verweist darauf, dass Forscher Anfang dieses Jahres einen Wiper-Angriff auf das polnische Stromnetz Ende Dezember der russischen Sandworm-Gruppe zuschrieben – zwei verschiedene Wiper-Angriffe auf kritische Infrastruktur in denselben Monaten. „Unterschiedliche Akteure, unterschiedliche Regionen, dieselbe Absicht“, sagt er.

Wiper-Angriffe hätten sich zu einer bevorzugten Cyberwaffe in zwischenstaatlichen Konflikten entwickelt, weil sie ein einfacher Weg seien, einen ersten Zugang in physische Folgen umzumünzen, sagt Jimmy Wylie, Malware-Analyst bei der auf industrielle und OT-Sicherheit spezialisierten Firma Dragos. „Wiper-Schadsoftware erledigt die Aufgabe schlicht mit minimalem Entwicklungsaufwand.“

Zugleich zeigten die Angreifer erhebliche Geduld, um die Infrastruktur und Netzwerke des Ziels zu kartieren – ein Problem für schlecht ausgestattete Sicherheitsteams, wie sie im Bereich kritischer Infrastruktur verbreitet sind, sagt Jacob Krell, Senior Director beim Sicherheitsdienstleister Suzu Labs. Die Betreiber hätten sich monatelang in der Umgebung aufgehalten, Binärdateien platziert und das Terrain vorbereitet, bevor sie die zerstörerische Phase einleiteten. „Diese Verweildauer offenbart die Lücke.“

Wylie betont, kritische Infrastruktur- und Industriebetriebe müssten den Fernzugriff absichern, Anomalien im Netzwerk sichtbar machen und im Ernstfall schnell reagieren können. „Wenn der Angreifer bösartig Standard-Windows-Werkzeuge ausführt, um Systeme zu löschen, ist es für Gedanken an Erkennung bereits zu spät“ – man müsse ihn früher in der Angriffskette stoppen. Krell hält die Segmentierung von OT-Netzwerken gegenüber der Unternehmens-IT sowie unveränderliche, für Angreifer unerreichbare Backups für entscheidend.