Cyberattacke legt offenbar indisches AKW lahm

Wie sicher sind die Atomkraftwerke in Sachen Cyberattacken? In Indien haben Hacker offensichtlich eines lahmgelegt.

Von Redaktion

Indiens zweites (und größtes) Atomkraftwerk hat am 19. Oktober 2019 den Betrieb eingestellt. Es wird vermutet, dass das Kernkraftwerk Kudankulam von einem Cyberangriff betroffen war und die Behörden bereits Monate zuvor über die Bedrohung informiert wurden. Selbst als Cybersicherheitsexperten den Fall zu untersuchen begannen, haben die Behörden das Auftreten einer Spyware, die in ihre Systeme eindringt, schnell abgewiesen. Das in Zusammenarbeit mit Russland errichtete Kraftwerksprojekt war von Anfang an ein Ziel ausländischer Akteure.

Das zweite 1.000-MW-Kernkraftwerk in Kudankulam, das der Nuclear Power Corporation of India Ltd. (NPCIL) gehört, hat am Samstag, dem 19. Oktober, die Stromerzeugung eingestellt, so die Power System Operation Corporation Ltd. (POSOCO). Das Atomkraftwerk stellte am Samstag gegen 12.30 Uhr die Erzeugung ein, weil das „SG-Niveau niedrig“ war, fügte das Unternehmen hinzu. Das voraussichtliche Datum des Wiederhochfahrens der Einheit ist nicht bekannt. Das NPCIL verfügt über zwei 1.000 MW-Kernkraftwerke in der Kudankulam Nuclear Power Project (KNPP), die mit russischer Ausrüstung gebaut wurden.

Während Cybersicherheitsexperten die Sicherheitslücke untersuchen, bestreitet das Kernkraftwerk Kudankulam in Tamil Nadu, Opfer eines Cyberangriffs zu sein, und bestreitet den Vorfall eines Spionage-Virus, der die Systeme der Anlage infiziert hat. Verständlich, denn würden sie es zugeben, wäre die allgemeine Angst groß, dass Terroristen sogar in der Lage sein könnten, eine Kernschmelze einzuleiten.

In der Erklärung wurde behauptet, dass „Kudankulam Nuclear Power Plant Project (KKNPP) und andere indische Kraftwerkskontrollsysteme eigenständig und nicht mit einem externen Cyber-Netzwerk und Internet verbunden sind. Ein Cyberangriff auf die Kontrollsysteme der Kernkraftwerke ist nicht möglich.“ Dies ist eine falsche Behauptung, die aufgedeckt wurde, als der israelische Geheimdienst die iranische Nuklearanlage (die auch nicht mit dem Internet verbunden war) mit Stuxnet ins Visier nahm.

Loading...

Wurde DTrack benutzt?

Mehr als einen Monat, bevor die Einheit ihren Betrieb einstellte, wurde das National Cyber Security Coordinator Office vom Cyber Threat Intelligence Analysten Pukhraj Singh über das Eindringen in deren Systeme informiert. Die Warnung wurde bei einer Untersuchung des Cybersicherheitsunternehmens Kaspersky zu Spionagetools namens DTrack ausgelöst.

Das globale Forschungs- und Analyseteam von Kaspersky hat ein bislang unbekanntes Spionagetool entdeckt, das in indische Finanzinstitute und Forschungszentren eingeschleust wurde. Diese als DTrack bezeichnete Spyware wurde Berichten zufolge von der Lazarus-Gruppe erstellt und wird verwendet, um Dateien auf die Systeme der Opfer hoch- und herunterzuladen, Tastatureingaben aufzuzeichnen und andere Aktionen durchzuführen, die für ein bösartiges Remoteverwaltungs-Tool (RAT) typisch sind.

Im Jahr 2018 entdeckten Kaspersky-Forscher ATMDtrack – eine Malware, die entwickelt wurde, um indische Geldautomaten zu infiltrieren und Kundenkartendaten zu stehlen. Nach weiteren Untersuchungen mit der Kaspersky Attribution Engine und anderen Tools fanden die Forscher mehr als 180 neue Malware-Beispiele, deren Codesequenz Ähnlichkeiten mit ATMDtrack aufwies, die sich jedoch nicht an Geldautomaten richteten. Stattdessen definierte seine Liste von Funktionen es als Spionagetool, jetzt bekannt als DTrack. Darüber hinaus hatten die beiden Stämme nicht nur Gemeinsamkeiten, sondern auch mit der DarkSeoul-Kampagne 2013, die Lazarus zugeschrieben wurde – einem berüchtigten Akteur, der für mehrere Cyberspionage- und Cybersabotage-Operationen verantwortlich ist.

DTrack kann als RAT verwendet werden, sodass Bedrohungsakteure die vollständige Kontrolle über infizierte Geräte haben. Kriminelle können dann verschiedene Vorgänge ausführen, z. B. das Hoch- und Herunterladen von Dateien und das Ausführen von Schlüsselprozessen.

Eine US-geführte Attacke?

Im Jahr 2012 behauptete der damalige indische Premierminister Manmohan Singh in einer anfänglichen Erklärung, dass ausländische Geheimdienste an der Sabotage des Kudankulam Nuclear Power Plant Project (KNPP), einem Fundament der indisch-russischen Allianz, beteiligt waren. Manmohan Singh bezog sich auf die Anti-Atom-Proteste in Kudankulam, von denen er behauptete, sie seien von von Amerikanern unterstützten NGOs organisiert worden.

Damals leitete die Polizei in der südindischen Stadt ein Verfahren gegen einen „verdächtigen Geldtransfer“ aus London ein. Die Polizei teilte mit, dass T. Ambika, die Frau des Anti-KNPP-Aktivisten Kumar alias Thavasi Kumar, von einem bestimmten Anand aus dem Vereinigten Königreich rund 55.000 US-Dollar auf ihrem Konto bei der Kudankulam-Filiale der Canara Bank erhalten habe. Beamte der Bank informierten die Polizei über die Einzahlung auf dem Konto. Die Polizei leitete daraufhin eine Untersuchung über das Geld ein, das von einem ausländischen Bestimmungsort an einen im Zusammenhang mit dem anhaltenden Kampf gegen die KNPP stehenden Empfänger geschickt wurde.

Wir brauchen ihre Unterstützung!

Liebe Leser, wenn Sie keine Premiumartikel lesen möchten, aber uns dennoch unterstützen wollen, dann können sie das auch mit einer Spende auf unser Bankkonto tun. Fragen Sie per eMail: [email protected] nach den Bankdaten oder übersenden Sie einen Unterstützungsbeitrag einfach per Paypal. Danke für Ihre Hilfe!

Loading...

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht.