Thought Leadership
OTORIO, spezialisiert auf Cybersicherheit von OT-Systemen (Operational Technologie), berichtet über eine aktuelle Attacke auf industrielle Steuerungssysteme. Am 4. September 2022 meldete die Hacktivistengruppe „GhostSec“ über soziale Medien und ihren Telegram-Kanal, dass sie erfolgreich in 55 Berghof PLC-Geräte (Programmable Logic Controller = Speicherprogrammierbare Steuerungen, SPS) in Israel eingedrungen sei. Die Gruppe hatte bereits zuvor israelische Unternehmen und Plattformen ins Visier genommen.
In der veröffentlichten Nachricht fügte GhostSec ein Video bei, das ein erfolgreiches Einloggen in das Admin-Panel der SPS demonstriert, zusammen mit einem Bild eines HMI-Bildschirms, der den aktuellen Status und die Kontrolle des SPS-Prozesses zeigt, und einem weiteren Bild, das zeigt, dass die SPS angehalten wurde.
Die IT-Sicherheitsforscher bei OTORIO beschlossen, die Details dieses Vorfalls weiter zu untersuchen, um zu verstehen, wie GhostSec die Kontrolle über diese SPS erlangen konnte, und um die zugrundeliegenden Risiken zu bewerten.
Details zu diesem Vorfall
Die Betrachtung des veröffentlichten System-Dumps von ZIP-Archiven (part_1.zip und part_2.zip) ergab die öffentlichen IP-Adressen der betroffenen PLCs/SPS. Dies lässt darauf schließen, dass die Geräte öffentlich dem Internet ausgesetzt waren/sind.
Beide Archive enthielten die gleichen Datentypen – System-Dumps und HMI-Screenshots, die direkt aus dem Berghof-Administrationspanel exportiert wurden. Das Panel ist von Haus aus mit dieser Funktion ausgestattet, so dass angemeldete Benutzer ein Backup erstellen und den aktuellen Zustand der Mensch-Maschine-Schnittstelle über einen Screenshot anzeigen können.
Wie wurden die Berghof-PLCs angegriffen?
Zum Zeitpunkt der Untersuchung waren die IPs noch über das Internet zugänglich. Der Zugriff auf das Admin-Panel ist passwortgeschützt. Das Ausprobieren einiger Standard- und gängiger Zugangsdaten führte jedoch zu einer erfolgreichen Anmeldung. Obwohl der Zugriff auf das Admin-Panel die volle Kontrolle über einige Funktionen der SPS ermöglicht, ist keine direkte Kontrolle über den industriellen Prozess gegeben. Es ist zwar möglich, den Prozess bis zu einem gewissen Grad zu beeinflussen, aber die eigentliche Prozesskonfiguration ist nicht ausschließlich über das Admin-Panel verfügbar.
Verfügt GhostSec über OT-Funktionen?
Die Recherchen ergaben auch, dass Berghof die CODESYS-Technologie als HMI verwendet und auch über den Browser unter einer bestimmten Adresse zugänglich ist. Aus den Beobachtungen der GhostSec-Verletzungsnachweise ging nicht hervor, ob GhostSec Zugang zur HMI erlangt hat. Es hat sich jedoch bestätigt, dass der HMI-Bildschirm ebenfalls öffentlich zugänglich war.
Mit Shodan kann jeder ein Hacker sein
Die Kommunikation in industriellen Netzwerken wird über spezielle Industrieprotokolle abgewickelt. Ein Blick auf die Scan-Ergebnisse der Shodan-Suchmaschine für mit dem Internet verbundene Geräte zeigt, dass diese SPS nur wenige offene Ports hat:
- 80 – HTTP
- 8080 – HTTP
- 502 – Modbus
Während die HTTP-Ports den Zugriff auf Webdienste ermöglichen, ist Modbus das industrielle Protokoll. Modbus ermöglicht die Übertragung von Daten zwischen der SPS und den HMI/SCADA-Systemen sowie das Abfragen und Ändern von Werten.
Fazit von OTORIO
Im Gegensatz zu Cyberangriffen auf IT-Infrastrukturen können Sicherheitsverletzungen in der Industrie extrem gefährlich sein, da sie physische Prozesse beeinträchtigen und in einigen Fällen sogar zu lebensbedrohlichen Situationen führen können.
Während GhostSec von einem ausgeklügelten Cyberangriff spricht, handelt es sich bei dem hier untersuchten Vorfall lediglich um einen unglücklichen Fall, bei dem leicht zu übersehende Fehlkonfigurationen von Industriesystemen zu einem äußerst einfachen Versuch führten, in die Systeme selbst einzudringen.
Die Tatsache, dass GhostSec wahrscheinlich weder auf die Mensch-Maschine-Schnittstelle zugegriffen noch diese manipuliert hat und dass die Hacker nicht die Modbus-Schnittstelle ausgenutzt haben, zeigt, dass sie mit dem OT-Bereich nicht vertraut sind. Soweit bekannt, hat GhostSec keine kritischen Schäden an den betroffenen Systemen verursacht, sondern lediglich versucht, die Aufmerksamkeit auf die Hacktivistengruppe und ihre Aktivitäten zu lenken.
Dieser Vorfall ist ein gutes Beispiel dafür, dass ein Cyberangriff durch eine einfache, ordnungsgemäße Konfiguration leicht hätte vermieden werden können. Die Deaktivierung der öffentlichen Zugänglichkeit von Anlagen zum Internet und die Beibehaltung einer guten Passwortpolitik, insbesondere die Änderung der Standard-Zugangsdaten, hätten den Einbruchsversuch der Hacker scheitern lassen.
www.otorio.com
