Wie ein Nebenverdienst die nationale Ölpipeline Rumäniens lahmlegte
Prayukth K V
Der jüngste Cyberangriff auf CONPET S.A., den staatlichen rumänischen Pipelinebetreiber, ist bei weitem nicht nur eine weitere Ransomware-Statistik. Er ist ein weiteres Beispiel für einen komplexen Angriff, der unter dem Dach moderner asymmetrischer Kriegsführung operiert, bei dem die "Luftlücke" zwischen dem Privatleben eines IT-Administrators und der kritischen Energieinfrastruktur einer Nation im Wesentlichen durch eine einzige Infostealer-Infektion überbrückt wurde.
In den letzten zehn Jahren haben wir alle viele vermeintlich "undurchdringliche" Systeme fallen sehen. Doch der Vorfall bei CONPET und seine unverkennbare Verbindung zur systematischen Belagerung der rumänischen kritischen Infrastruktur eröffnet ein neues Kapitel in der Angriffskomplexität. Es zeigt eine erschreckende Evolution in der Art und Weise, wie Bedrohungsakteure wie Qilin alias Agenda von brutaler Gewalt zu „autorisiertem“ Zugang übergehen. Qilin ist eine Gruppe, die dafür bekannt ist, gestohlene Daten relativ schnell auf den Markt zu bringen. Das bedeutet, dass die Daten bereits auf dem Weg zu potenziellen Käufern sind, während die Verhandlungen mit dem Opfer laufen.
Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag über "Ein tiefer Einblick in die verheerendsten Cyberangriffe des Jahres 2025 laut Tokio Marine HCC International" hier zu lesen.
Ein wenig über CONPET
CONPET SA ist ein rumänisches staatliches Pipelineunternehmen. Es ist auf den Transport von Rohöl, Erdölprodukten und Ethan durch ein umfangreiches Netzwerk von Pipelines spezialisiert, die sich über mehr als 3.800 Kilometer durch Rumänien erstrecken. Das Unternehmen spielt eine entscheidende Rolle für die Energiesicherheit des Landes durch seine Infrastruktur. CONPET bemüht sich, den effizienten und sicheren Transport von wirtschaftlich wesentlichen Ressourcen sicherzustellen. Darüber hinaus unterhält CONPET aktive Partnerschaften mit großen Branchenteilnehmern wie Petrom OMV, Petrotel Lukoil und Rompetrol Rafinare. Das Unternehmen wurde ursprünglich als Ploieşti Oil Pipeline Transport Company (ITTC) gegründet. Seitdem hat es einen umfassenden Modernisierungsprozess durchlaufen und ist seit dem Jahr 1991 unter seinem heutigen Markennamen bekannt.
Der Ablauf des Verstoßes:
Der Verstoß begann nicht erst am 3. Februar 2026, als die Website offline ging. Er begann Wochen zuvor in einer Umgebung, die weit von einem hochsicheren Serverraum entfernt war.
11. Januar 2026: Der „Patient Zero“ wird identifiziert. Ein Infostealer-Malware infiziert einen persönlichen Computer (Host-Name: DESKTOP-TCR5GQM), der einem IT-Administrator von CONPET gehört. Es wird angenommen, dass die Maschine für ein kleines Elektronikreparaturgeschäft (unter dem Pseudonym "GadgetFix") verwendet wurde.
12. Januar 2026: Bedrohungsintelligenz-Monitore indizieren die exfiltrierten Daten. Über 268 Zugangsdaten werden erfasst, darunter Zugangsschlüssel für CONPETs VPN, Cacti (Netzwerküberwachung). Dies umfasst auch WSUS (Windows Server Update Services).
12. Januar – 2. Februar 2026: Verweildauer. Qilin-Operatoren nutzen die gestohlenen VPN- und WSUS-Zugangsdaten, um das Netzwerk und die Zugangsdaten zu kartieren. In einer OT-Umgebung entspricht der Zugriff auf Netzwerküberwachungstools wie Cacti in etwa dem Besitz eines Schemas des Nervensystems.
3. Februar 2026: Der Hammer fällt. Qilin setzt seine Rust-basierte Ransomware ein und verschlüsselt die IT-Systeme des Unternehmens und exfiltriert etwa 1TB sensibler Daten, darunter Finanzdaten, vertrauliche Unternehmensinformationen, möglicherweise Pipelineschemata, Lieferantendetails und Mitarbeiterpassscans.
Profil des Bedrohungsakteurs: Der Aufstieg von Qilin (Agenda)
Qilin ist eine mit Russland verbundene Ransomware-as-a-Service (RaaS)-Gruppe, die 2025 und 2026 schnell auf die „Most-Wanted“-Liste gelangte.
Warum sie eine Bedrohung der Stufe 1 für OT sind:
Der Rust-Vorteil: Sie haben ihren Code vollständig von Go auf Rust migriert. Dies macht ihre Binärdateien schwerer rückzuentwickeln und hochleistungsfähig, was eine schnelle Verschlüsselung von großen Datenmengen ermöglicht, bevor EDR eingreifen kann.
Gezielte Anpassung: Im Gegensatz zu „Spray-and-Pray“-Akteuren passt Qilin Binärdateien für jedes Opfer an. Sie enthalten einen „Kill Switch“, der Systemeinstellungen überprüft (CIS/Russland vermeidet) und spezifisch Verzeichnisse anvisieren oder umgehen kann, um sicherzustellen, dass die schmerzhaftesten Systeme getroffen werden.
Inzentivierte Affiliates: Mit einer Auszahlungsstruktur von 80–85% ziehen sie hochqualifizierte anfängliche Zugangsbeschaffer (IABs) und Spezialisten für seitliche Bewegungen an. Sie sind auch dafür bekannt, Rekrutierungskampagnen durchzuführen, um hochqualifiziertes Personal für die Malware-Entwicklung zu engagieren.
Unerschütterlicher Fokus auf Unternehmensopfer: Dieser Bedrohungsakteur hat erhebliche Erfahrung und Expertise im Angriff auf Unternehmensopfer und im Verkauf ihrer Daten gesammelt. Er zählt tatsächlich zu den Top-zwei anhaltenden Bedrohungsakteuren, denen es gelingt, große und bekannte Unternehmen erfolgreich anzugreifen.
Unterstützung durch den Staat: Qilin wird durch den russischen Staat über seine APT-Gruppen unterstützt. Die Gruppe erhält Unterstützung vom russischen GRU und ihre Mitarbeiter sind durch den russischen Staat geschützt.
Sie operieren auch mit dem kürzesten Zielzyklus
Qilin stand auch hinter dem Angriff auf Asahi Brewery. Lesen Sie den Bericht hier.
Technische Tiefenanalyse: Die „Managementebene“ als Waffe nutzen
Der alarmierendste technische Aspekt des CONPET-Verstoßes ist die Ausnutzung von WSUS (Windows Server Update Services).
In einer standardmäßigen Purdue-Modell-Architektur konzentrieren wir uns häufig darauf, Level 1 (Feldgeräte/Controller) von Level 4 (Corporate IT) zu isolieren. Allerdings durchquert die Managementebene (Updates, Überwachung, Backups) diese Ebenen häufig. Durch die Kompromittierung des WSUS-Servers erhielt Qilin eine „vertrauenswürdige“ Plattform, um bösartige Payloads auf jede WINDOWS-basierte HMI (Mensch-Maschine-Schnittstelle) und Workstation in der Unternehmensumgebung zu verteilen, ohne Verdacht zu erregen.
Zusammenfassend mussten sie keine Schwachstelle in der SCADA-Software der Pipeline finden. Sie nutzten einfach den Mechanismus des Systems (WSUS), um das Gift zu verteilen.
Das große Ganze: Die Belagerung Rumäniens
Der Angriff auf CONPET ist sicherlich kein isolierter Vorfall. Er ist der neueste Knotenpunkt in einer koordinierten Kampagne gegen die rumänische kritische Infrastruktur, die Ende 2025 beschleunigte. Rumänien ist auf dem Radar russischer Bedrohungsakteure.
Datum | Ziel | Akteur/Methodik | Auswirkung |
20. Dez 2025 | "BitLocker-Breach" | 1.000+ Systeme getroffen; native Verschlüsselung als Waffe eingesetzt. | |
26. Dez 2025 | "Gentlemen"-Gruppe | Störung von ERP und Geschäftsanwendungen für Kohlekraftwerke. | |
3. Feb 2026 | CONPET S.A. | Qilin | 1TB Daten gestohlen; Unternehmens-IT lahmgelegt; Website offline. |
Der strategische Zusammenhang: Es gibt ein klares Muster darin, die „Verwaltungsebenen“ kritischer Versorgungsunternehmen anzugreifen. Während die OT (SCADA)-Systeme bei CONPET und den rumänischen Gewässern funktionstüchtig blieben (Dank manueller Übersteuerungen und Segmentierungen), wurde das administrative Ende, bestehend aus Abrechnung, Logistik und interner Kommunikation, geblendet.
Im Energiesektor, wenn Sie kein Öl abrechnen oder mit Disponenten über ERP kommunizieren können, wird der physische Fluss letztendlich durch administrative Lähmung gedrosselt, wodurch dasselbe Ergebnis wie bei einem physischen Ventilschluss erzielt wird, ohne das kinetische Risiko eines Gegenangriffs.
Das "So-What?" für OT-Leiter
Der Einbruch bei CONPET beweist, dass Bedrohungsakteure kritische Infrastrukturbetriebe aufmerksam verfolgen und gezielt angreifen. Der „Luftspalt“ ist ein Mythos, wenn Ihr IT-Administrator von einem Computer aus auf kritische Infrastruktur zugreift, der für einen Nebenjob verwendet wird.
Wichtige Erkenntnisse:
Setzen Sie MFA auf alles durch: Das Fehlen von MFA auf dem VPN-Portal war das erste Domino, das fiel.
Stärkung der Managementebene: WSUS, Cacti und Veeam müssen als „Hochwirksame OT-Vermögenswerte“ betrachtet werden, selbst wenn sie im Unternehmens-VLAN sitzen.
Risiko von Dritt-/persönlichen Daten: Unternehmen müssen das Dark Web auf Leaks von Mitarbeiterzugangsdaten überwachen, bevor die Verweildauer in eine Bereitstellung übergeht.
Risikobewertungen: Führen Sie häufig Risikoanalysen auf Basis von IEC 62443 durch und beheben Sie die festgestellten Lücken
Benötigen Sie Hilfe bei Ihren Risikomanagement- und Compliance-Anforderungen? Sprechen Sie mit unserem Experten.
Mehr über unsere NIS2-Compliance-Dienste.
Erfahren Sie etwas mehr über die Incident Response Services von Shieldworkz
Sprechen Sie mit einem Ferien-Sicherheitsexperten (ja, wir haben einen dedizierten Sicherheitsprofi, der mehr darüber weiß, wie Sie Ihre Sicherheitsmaßnahmen in mageren Zeiten optimieren können).
Testen Sie unsere OT-Sicherheitsplattform hier.
Herunterladbare Materialien:
OT-Cybersicherheit für vor Ort Wartungscheckliste
Insider-Bedrohungsschutz-Checkliste
Checkliste für Cyber-Risikomanagement
Strategische IEC 62443-Checkliste zum Schutz Ihrer IACS-Operationen
Die Website von Conpet ist zum Zeitpunkt der Veröffentlichung dieses Blogs noch offline
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
From click to crisis: How Nova Scotia Power got breached
Team Shieldworkz
Entpacken Sie Handalas Resilienz-Leitfaden
Prayukth K V
Übertragung des NIST CSF 2.0 auf IEC 62443: Ein praktisches Rahmenwerk für die industrielle OT-Sicherheit
Team Shieldworkz
Bereitstellung von IEC 62443 Sicherheitsmaßnahmen in IACS: Ein praktischer Implementierungsleitfaden
Prayukth K V
Bewältigung der Herausforderungen bei der Umsetzung von NIS2
Team Shieldworkz
Air-Gapped SCIFs und NERC CIP-015: Warum die traditionelle SCADA-Sicherheit nicht ausreicht
Team Shieldworkz
