Teil 1/2

Industrial Security: der Malware auf der Spur

WannaCry, NotPetya und Industroyer haben im vergangenen Jahr viel Schaden angerichtet, ein weiterer Angriff auf ein Safety System (TRISIS) wurde Ende des Jahres bekannt. Zeit für eine Zusammenfassung dokumentierter Risiken (Teil 1) und deren Folgen für OT-Netzwerke (Teil 2).

Obwohl es diese Domaine schon rund 30 Jahre gibt, rückt mit zunehmendem Einsatz von IoT-Technologien (Internet of Things) auch die Sicherheit sogenannter OT-Netzwerke (Operational Technology) stärker in den Fokus. Wird die Unternehmens-IT gehackt, kostet dies die Betroffenen vor allem Geld und Nerven. Beim Angriff auf OT-Netzwerke und -Maschinen können dagegen komplette Betriebsabläufe, der Werker an der Maschine oder wir alle beim morgendlichen Kaffeekochen mit der smarten Kaffeemaschine ernsthaft gefährdet werden. IBM Security hat die jüngsten Cyberangriffe und deren Risiko für OT-Netzwerke ausgewertet und die Folgen für diese Prozess- und Automatisierungsnetzwerke analysiert. 

Anzeige

Angst vor den Maschinen im Raum? Gar nicht so abwegig: WannaCry, NotPetya und Industroyer waren jüngst in der Lage, in OT-Umgebungen vorzudringen und Produktionsabläufe in den betroffenen Unternehmen ernsthaft zu stören. Maschinen streikten und Haushalte wurden nicht mehr mit Strom beliefert. Auch das ehemalige Kernkraftwerk Tschernobyl war von den Anschlägen betroffen. Eine Analyse der drei Cyberangriffe hilft zu verstehen, welche Sicherheitsvorfälle entstanden sind und was die Auswirkungen waren. In Teil 2 des Beitrags in der nächsten Ausgabe wird es dann darum gehen, was Unternehmen und Organisationen tun können, um angemessen auf solche Vorfälle zu reagieren.

WannaCry: eine Windows-Schwachstelle provoziert Zerstörungswut

Der WannaCry Ransomware-Angriff im Mai 2017 konzentrierte sich zunächst scheinbar nur auf medizinische und administrative Netzwerke in britischen Krankenhäusern, weitete sich jedoch nach seinem Ausbruch noch in derselben Nacht auf mehr als 150 Länder und verschiedene Branchen aus. In mehreren Produktionsbetrieben in Europa und Asien kam es zu wiederkehrenden Ausfallzeiten.

Als Infektionsursache wurde eine Malware identifiziert, die öffentliche Adressräume im Internet scannte und sich wie ein Lauffeuer in denjenigen Netzwerken verbreitete, bei denen das Server-Message-Block-Netzwerkprotokoll für externe Verbindungen geöffnet war. Um sich auszubreiten und Systeme infizieren zu können, verwendete die Malware von der NSA gestohlene Exploits, die eine bekannte Schwachstelle im Windows-Betriebssystem ausnutzten. Zwar war bereits im März 2017 ein Patch für diese Windows-Schwachstelle veröffentlicht worden, doch – wie so oft – aktualisierten viele Unternehmen ihre Systeme nicht rechtzeitig oder vertrauten auf eine Trennung von IT- und OT-Netzwerken.

Bei den betroffenen Unternehmen und Organisationen unterbrach die WannaCry-Ransomware die Betriebsabläufe. Sie verschlüsselte wichtige Unternehmens- und Administrations-Daten und forderte für deren Freigabe eine Bezahlung. Der ausgeklügelte Verschlüsselungs- und Zahlungsprozess von WannaCry führte zunächst zu dem Schluss, dass der Angriff finanziell motiviert war. Ziel war es jedoch auch, zu zerstören und Störungen zu verursachen – die dabei gesammelten Bitcoins spielten eine eher untergeordnete Rolle.

NotPetya: Versteckt in Steuersoftware soll Malware der Ukraine schaden

Ende Juni erfolgte der nächste Malware-Angriff. Aufgrund seiner Ähnlichkeit zur bekannten Ransomware „Petya“ erhielt er den Namen „NotPetya“. Der Angriff traf zuerst Regierungsbehörden und Unternehmen in der Ukraine und breitete sich dann in ganz Europa und den USA aus. Versteckt wurde die Malware vermutlich in einem Software-Update einer populären Steuer- und Buchhaltungssoftware, die in der Ukraine verwendet wurde. Das legte die Vermutung nahe, dass es sich um einen geografisch ausgerichteten Angriff handelte. Ziel des Angriffs wurden auch kritische Infrastrukturen des Landes. So mussten die automatisierten Strahlungssensor-Mess- und Alarmsysteme im Kernkraftwerk Tschernobyl einen Tag lang auf manuelle Messung umgestellt werden. Außerdem wurde berichtet, dass einige Stahl-, Öl-, Gas- und Baufirmen in der Ukraine, Russland und Polen durch den Cyberangriff Produktionsstörungen verzeichneten.

Wie bei WannaCry, nutzte NetPetya ungepatchte Schwachstellen um sich auszubreiten. Daneben gab es jedoch auch weitere Infektionswege, indem legitime Administrations-Tools zur Verbreitung und Installation genutzt wurden, etwa um Windows-Anmeldeinformationen zu erfassen. Dabei wurde versucht, verdächtigen Netzwerkverkehr so gering wie möglich zu halten. So konnte sich die Malware weiter über das Netzwerk ausbreiten und schließlich sogar gepatchte Systeme infizieren.

NotPetya funktionierte wie ein zerstörerisches Festplattenspeichermodul und machte infizierte Systeme durch die Verschlüsselung der Master Boot Record (MBR) auf den Festplattenlaufwerken absichtlich unbrauchbar. Abgesehen von einer wenig glaubwürdigen Zahlungsaufforderung, die auf einer einzigen öffentlichen E-Mail-Adresse beruhte, funktionierte auch die Verschlüsselungs- und Entschlüsselungsfunktion in der Malware nicht. Wie WannaCry war also auch NotPetya primär mit dem Ziel entwickelt worden, Daten zu zerstören.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Industroyer: Gezielte Industrie-Attacke verdunkelt Heiligabend in Kiew

Industroyer, auch als CrashOverride bekannt, war ein gezielter Angriff auf ein 200-Megawatt-Umspannwerk in der Ukraine Ende Dezember 2016. Der Angriff nahm das Umspannwerk vom Netz. Es war über eine Stunde offline und konnte vom Betreiber nicht gesteuert werden. Das führte zu einem Stromausfall in der ukrainischen Hauptstadt Kiew – wenige Stunden vor Heiligabend. Seither wurden verschiedene Teile der Malware untersucht. Die raffinierte Malware ist modular aufgebaut und anpassbar und dabei gezielt auf Industrial Control Systeme (ICS) ausgerichtet, um einen größtmöglichen Schaden anzurichten. 

Industroyer war der gezielteste der drei Malware-Angriffe. Sein Angriffsvektor ist bis heute unbekannt. Doch das erschreckendste ist, dass Experten vermuten, damit sollte nur die Machbarkeit eines zukünftigen Cyberangriffs getestet werden. Ziel des Angriffs war es also eher, Informationen zu sammeln, um irgendwann einmal in der Lage zu sein, ganze Betriebsabläufe zu stoppen oder einzelne Geräte gezielt zerstören zu können. Durch den Fall Industroyer wurde deutlich, dass gezielte Angriffe auf industrielle Prozesse durch Hacker kein Einzelfall mehr sind. Der Industroyer-Code enthält gültige Steuerbefehle und konnte den Betrieb tatsächlich unterbrechen. Noch gravierender: Es gibt Hinweise darauf, dass der Malware-Code dem Control Center falsche Werte liefern kann (wie Stuxnet) oder ein Umspannwerk in einen Fail-Safe Modus setzen kann, was einem Denial-of-Service (DOS) auf Relais gleichkommt.

Ende des Jahres 2017 gab es dann erste Publikationen zu einem direkten Angriff auf ein Safety-System, die neu entdeckte Malware heißt TRISIS und führt durch Manipulation des Safety Systems zu einem sicherheitsbedingten Herunterfahren von Industrieprozessen. Hier wissen wir jedoch noch sehr wenig über die Details des Angriffs.

Was können wir aus diesen disruptiven Angriffen lernen?

WannaCry beschränkt sich – anders als NotPetya – nur auf ungepatchte Systeme, um Systeme erfolgreich anzugreifen. Doch auch wenn auf den ersten Blick ein frühzeitiges Patching die beste Vorsichtsmaßnahme gegen die Bedrohung zu sein scheint, ist der Sicherheitsansatz bei OT-Netzwerken wesentlich komplexer und diffiziler. Warum? Produktionsmaschinen sind in der Regel vom Hersteller zertifiziert, Informationen beinahe in Echtzeit zu verarbeiten. Jede ungetestete Änderung kann dabei unerwünschte Auswirkungen auf die Produktionsparameter haben. In extremen Fällen kann eine in bester Ansicht getroffene Sicherheitsmaßnahme (z.B. Patching von Schwachstellen) zu einem inakzeptablen Risiko für den gesamten Betriebsprozess führen. Daher sind die klassischen IT-Sicherheits-Maßnahmen für OT-Bereiche nicht immer anwendbar. Deshalb sollte, um Malware-Risiken effektiv abzuwenden, auf einen mehrschichtigen Sicherheitsansatz gesetzt werden. Dieser sollte folgende Kriterien umfassen:

  • Berücksichtigung aller Sicherheitsphasen: von der Vorbeugung bis zur Wiederherstellung des Systems nach einem Angriff;
  • Berücksichtigung aller Sicherheitsmaßnahmen: von Arbeitsprozessen bis zum Einsatz der passenden Technologien;
  • Überwachung aller Technologie-Bereiche: vom Gateway- bis zum End-Point-Schutz (bei Industrie 4.0 wird der Gateway horizontal noch bis zur Anlage beim Kunden erweitert);
  • Überwachung des gesamten OT-Netzwerkes: von der Datenerfassung bis hin zur speicherprogrammierten Steuerung (SPS), den Remote Terminal Units (RTU) oder sogar bis zur Sensor- und Actuator-Ebene.

Selbst wenn das OT-Netzwerk vom IT-Unternehmensnetzwerk getrennt wird, sind sowohl Menschen als auch Daten oft in beiden Netzwerken unterwegs. Deshalb müssen hier gleichermaßen hohe Sicherheitsstandards gelten. Die Verbindung beider Netzwerke sollte stets überwacht und analysiert werden, immer unter dem Leitgedanken: „Vertrauen ist gut, Kontrolle ist besser“.

Auch die Angriffsmethode des Industroyer ist robust und darüber hinaus effizient: Es kommen gleich mehrere industrielle Protokolle (IEC 60870-5-101, IEC 60870-5-104, IEC 61850 und OLE für Process Control Data Access (OPC DA) zum Einsatz. Das Angriffsziel hier waren Low-Level-Controller – weit unterhalb des SCADA-Systemlevels. Hacker machen sich hier also zunehmend mit industriellen Netzwerkspezifika vertraut.
Was passierte genau? Die Industroyer-Malware sammelte zuerst Informationen über bestimmte Arbeitsläufe innerhalb des Netzwerks, zum Beispiel ICS-Informationen über deren Kommunikation und Konfiguration, zugehörige Dateien und Variablen innerhalb der RTU-Ebene. Sobald sich die Malware als gefälschter Systemprozess in das Netzwerk eingenistet hatte, wurden gültige Steuerbefehle an die angeschlossenen Stromunterbrecher und die Schalter weitergeleitet. Dadurch konnte ein Umspannwerk vom Übertragungsnetz oder den Verteilungsleitungen getrennt werden. Sobald die Verbindung unterbrochen war, war der Strom in der Region weg.

Selbst wenn Sicherheitskontrollen vorhanden gewesen wären, hätten sie vermutlich nur höhere Ebenen des OT-Netzwerks abgedeckt, etwa die SCADA-Systeme und möglicherweise den Fernwartungszugriff. In den allermeisten Unternehmen heute findet in den Tiefen des OT-Netzwerks weder eine Validierung von Befehlen noch eine Überwachung des Netzwerkverkehrs statt. Im besten Fall führt dies dann „nur“ zu einem Prozessausfall. Die Sicherheitsanalyse ergab, dass die modular aufgebaute Industroyer-Malware industrielle Kommunikationsprotokolle nutzte, die speziell in kritischen Infrastrukturen eingesetzt werden. Eine weitere beunruhigende Tatsache ist, dass sich die Malware durch ihren modularen Aufbau um weitere Funktionen erweitern lässt und damit auch in anderen industriellen Netzwerken eingesetzt werden könnte.

Was wäre also im konkreten Fall eine Option gewesen? Die Steuerung eines Stromnetzes ist relativ robust und funktioniert auch im manuellen Betrieb. Ähnlich wie beim Flugzeug, wo der Autopilot regelmäßig deaktiviert wird um manuelle Prozeduren zu trainieren. Der Autopilot im Strombetrieb sind die verschiedenen Umspannwerke, die automatisch arbeiten, aber eben auch in einen manuellen Betriebsmodus versetzt werden können sollten – zumindest, wenn genügend Ingenieure für einen Vor-Ort-Betrieb zur Verfügung stehen. Unternehmen sollten einmal prüfen, ob das Betriebspersonal im Notfall in der Lage ist, einen Prozess auch manuell zu steuern und wann dies das letzte Mal getestet wurde.
Die Beispiele zeigen, dass Sicherheitsvorfälle für industrielle Infrastrukturen ein Risiko sind, das zunehmend berücksichtigt werden sollte. Ein Problem ist markant:

Häufig werden gar keine Sicherheitsinformationen aus den industriellen Netzen erhoben, so dass sowohl Eintrittspunkt und Angriffspfad, also auch der Angriffszeitpunkt nicht genau festgestellt werden können. Damit ist eine forensische Angriffsanalyse unter Umständen gar nicht möglich. Die zunehmende Bedrohung zwingt Unternehmen deshalb dazu, die Sicherheitsprozesse und -verfahren in ihren Betrieben kontinuierlich neu zu bewerten und zu verbessern und neben der „Corporate IT“ auch industrielle Infrastrukturen zu berücksichtigen.

Im zweiten Teil des Beitrags (nächste Ausgabe) geht es um Empfehlungen und Maßnahmen für einen effektiven Schutz von OT-Netzwerken

Marcel Kisch, Weltweiter Leiter IBM Security Manufacturing IoT (Industrie 4.0)

https://www.ibm.com/security
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.