Ende Dezember 2025 wurde eine schädliche Operation entdeckt, die zwar nicht zu massiven Versorgungseinschnitten führte, aber eine besorgniserregende Rolle bei der Entwicklung der industriellen Cybersicherheit hinterließ: Mehrgenerationsanlagen, die im polnischen Stromnetz verteilt wurden, wurden angegriffen und in einigen Fällen einige Geräte unbrauchbar. Laut der Analyse, die der Spezialist für Sicherheit OT Dragos veröffentlicht hat, wird die Kampagne - mit mittlerem Vertrauen qualifiziert - auf eine Gruppe, die mit dem russischen Staat ELECTRUM verbunden ist, zurückgeführt, die gemeinsam mit einer Komplementärgruppe KAMACITE gearbeitet hätte, um den Zugang und die Ausführung in industriellen Umgebungen zu erleichtern ( Bericht von Drago)
Was diese Episode einzigartig macht, ist das Ziel gewählt: verteilte Energieressourcen (Ders), wie Wind-, Solar- und KWK-Anlagen (CHP). Diese in modernisierten und dekarbonisierten Netzwerken zunehmend vorhandenen Vermögenswerte erzeugen nicht nur Energie, sondern hängen auch von Kommunikations- und Kontrollschichten ab, die sie mit Netzbetreibern verbinden. Die intrusion betroffenen Kommunikations- und Kontrollsysteme, die zwischen dem Bediener und diesen Ressourcen vermitteln, und an etwa 30 Orten gelang es den Angreifern, kritische Geräte in situ zu degradieren oder zu zerstören nach Drago ( breitere Analyse der Taktiken)
Der beschriebene Modus operandi kombiniert zwei gut differenzierte Phasen. KAMACITE hat sich auf die Öffnung von Türen konzentriert: Scans von exponierten Geräten, Speed-Phishing, Diebstahl von Anmeldeinformationen und Nutzung von sichtbaren Dienstleistungen im Internet, um erste Präsenz zu etablieren. ELECTRUM fungiert zum Teil, wenn diese Präsenz bereits etabliert ist, um zwischen IT- und OT-Netzen zu bewegen, spezifische Werkzeuge einzusetzen und manchmal industrielle Controller zu manipulieren. Diese Aufgabenteilung ermöglicht es, ein latentes Belichtungsfenster für lange Zeiträume zu halten, mit der Möglichkeit, destruktive Angriffe durchzuführen, wenn die Bedingungen erlauben- eine Praxis, die das Risiko über den konkreten Vorfall hinaus verlängert.
In technischer Hinsicht hätten die Angreifer von exponierten Netzwerkgeräten und Sicherheitslücken Gebrauch gemacht, um Remote-Terminaleinheiten (RTUs) und Kommunikationsinfrastruktur zu kompromittieren. Der beschriebene Schaden beinhaltete Löschen von Windows-Systemen, um Wiederherstellung zu komplizieren, Einstellungen zurücksetzen und in einigen Fällen versuchen, physisch nutzlose Geräte zu verlassen. Drago weist darauf hin, dass die meisten angegriffenen Geräte darauf ausgerichtet waren, die Sicherheit und Stabilität des Netzes zu überwachen, was die Schwerkraft des Ereignisses erhöht, auch wenn keine direkten Betriebsbefehle gegen die Anlagen erreicht wurden.
Zwar gibt es keine öffentliche Bestätigung, dass die Angreifer versuchten, elektrische Prozesse direkt zu steuern - offene oder schließende Breaker, zum Beispiel - die einfache Tatsache, die Kommunikation zu unterbrechen und aus Service-Überwachungsanlagen zu verlassen, erschwert bereits die Verwaltung des Netzes durch die Betreiber erheblich. Die Episode macht deutlich, dass die Steuerung der Telemetrie und Konnektivität von Ders jetzt ein Risikovektor mit realen Konsequenzen für die Widerstandsfähigkeit des elektrischen Systems ist.
Dieser Fall bestätigt auch einen Trend, den Spezialisten seit früheren Angriffen angesprochen haben: Gegner mit OT-Funktionen interessieren sich zunehmend für verteilte Energieinfrastrukturen. Die Lehren des Angriffs auf das ukrainische Netzwerk im Jahr 2015 sind noch in der Fachliteratur und operativen Empfehlungen ( historische Analyse von Drago) Der aktuelle Unterschied besteht jedoch darin, dass die Verbreitung von Ders eine Vielzahl von Punkten der direkten oder indirekten Verbindung zum Netzwerk einführt, die die Angriffsfläche erweitert.
Was kann die Branche aus diesem Vorfall herauskommen? Erstens sollte die Sichtbarkeit und Kontrolle der Kommunikation zwischen Betreibern und verteilten Vermögenswerten gestärkt werden; die aktuelle Bestandsaufnahme von Geräten, die Identifizierung, welche Dienstleistungen dem Internet ausgesetzt sind und die Anwendung realer Segmentierung zwischen IT- und OT-Umgebungen ist keine Empfehlung mehr, eine betriebliche Anforderung zu werden. Zweitens bleiben klassische Maßnahmen wie Multifaktor-Authentifizierung, die Reduzierung von gemeinsamen Anmeldeinformationen und die Hygiene von Patches für angeschlossene Geräte wirksam, wenn sie streng umgesetzt werden. In diesem Zusammenhang werden die Leiter von Einrichtungen wie der US-Infrastruktur- und Cybersicherheitsagentur. UU sind ein guter Ausgangspunkt für Betreiber, die Aktionen priorisieren müssen ( CISA-Ressourcen für ICS) und die detaillierten technischen Empfehlungen von NIST bieten praktische Rahmenbedingungen zum Schutz von Kontrollsystemen ( NIST SP 800-82)
Es gibt auch eine organisatorische Dimension: Die Reaktion auf diese Art von Risiko erfordert eine enge Koordination zwischen IT-Sicherheitsteams und BT-Manager, Recovery-Pläne, die die Reparatur oder den Austausch von spezialisierten Geräten und Simulationsübungen berücksichtigen, die den Verlust von Telemetrie von Ders betrachten. Darüber hinaus muss die Lieferkette - Firmware, Kommunikationsgeräte, OEM-Dienste - strengeren Kontrollen unterliegen, um die Möglichkeit von Hintertüren oder kompromittierten Komponenten zu reduzieren.
Schließlich sollte das Fehlen von Blackouts nicht mit dem Fehlen von Schäden verwechselt werden. Ein Angriff, der keine sichtbaren Kürzungen verursacht, kann auch Vermögenswerte zerstören, Ersatzkosten erhöhen und ein Netzwerk mit hohem Risiko während der Infrastruktur-Reposition verlassen. Die Energieindustrie geht in eine neue Phase ein, in der Modernisierung und Digitalisierung Hand in Hand mit einer Cybersicherheit gehen müssen, die speziell für industrielle Umgebungen konzipiert ist, nicht angepasst von der Unternehmenswelt IT.
Für diejenigen, die sich vertiefen wollen, gibt Dragos detaillierten Bericht über den Angriff in Polen und seinen breiteren Bericht über die Tätigkeit von ELECTRUM und KAMACITE technische Details und Chronologien, die helfen, die Größe und Raffinesse dieser Operationen zu verstehen ( Bericht des Angriffs, Bericht über die Wettbewerbspolitik) Die Bewachung hoch zu halten, in spezialisierte Erkennung zu investieren und die Zusammenarbeit zwischen den Betreibern und Behörden zu stärken, wird der Schlüssel sein, um zu verhindern, dass Vorfälle wie diese zu großen Unterbrechungen in der Zukunft führen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...