[English]Aus den USA gibt es eine Warnung von CISA und weiteren Organisationen, die sich an Hersteller und Betreiber von Prozessleitsystemen und Steuerungen (ICS/SCADA-Systeme) richtet. Cybergruppen (APTs) haben neue Angriffstools entwickelt, mit denen sie diverse industrielle Steuerungs- und Kontrollsysteme angreifen können. Da mittlerweile ein gewisser Trend besteht, bei diesen Angriffen nur noch zu zerstören, steigt die Gefahr, dass Industrie-Bereiche oder kritische Infrastruktur durch (staatliche) Cyber-Akteure lahm gelegt werden.
Anzeige
Das Energieministerium (DOE), die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), die Nationale Sicherheitsbehörde (NSA) und das Federal Bureau of Investigation (FBI) haben ein gemeinsames Cybersecurity Advisory (CSA) veröffentlicht.
Obiger Tweet weist auf diesen Sachverhalt hin. Die betreffende Warnung der CISA ist im Web teilweise nur sehr schwierig abrufbar – hier ist die archivierte Version im Web-Cache.
ICS/SCADA-Systeme im Fokus
Die US-Behörden warnen davor, dass bestimmte (staatlich unterstützte) Cyber-Gruppen, die für fortgeschrittene, anhaltende Bedrohungen (APT) verantwortlich sind, in der Lage sind (und das gezeigt haben), vollständigen Systemzugang zu mehreren industriellen Steuerungssystemen (ICS)/Überwachungssteuerungs- und Datenerfassungssystemen (SCADA) zu erlangen, darunter sind:
Anzeige
- Speicherprogrammierbare Steuerungen (PLCs) von Schneider Electric,
- OMRON Sysmac NEX Speicherprogrammierbare Steuerungen und
- Open Platform Communications Unified Architecture (OPC UA)-Server
Die Behörden schreiben, dass die APT-Akteure maßgeschneiderte Tools entwickelt haben, um die auf ICS/SCADA-Geräte angreifen zu können. Diese Tools ermöglichen es den Angreifern, die betroffenen Geräte zu scannen, zu kompromittieren und zu kontrollieren, sobald sie einen ersten Zugang zum OT-Netzwerk (Operational Technology) erhalten haben.
Darüber hinaus können die Akteure Windows-basierte technische Workstations, die in IT- oder OT-Umgebungen vorhanden sein können, kompromittieren. Dabei verwenden sie ein Exploit, das einen ASRock-Motherboard-Treiber mit bekannten Schwachstellen kompromittiert. Durch die Kompromittierung von ICS/SCADA-Geräten und die Aufrechterhaltung des vollständigen Systemzugriffs können APT-Akteure ihre Privilegien erhöhen, sich seitlich in einer OT-Umgebung bewegen und kritische Geräte oder Funktionen stören.
DOE, CISA, NSA und das FBI empfehlen kritischen Infrastrukturen, insbesondere im Energiesektor, die in diesem CSA enthaltenen Empfehlungen zur Erkennung und Eindämmung von APT-Aktivitäten umzusetzen, um potenzielle bösartige APT-Aktivitäten zu erkennen und ihre ICS/SCADA-Geräte zu schützen. Der Bericht enthält konkrete Informationen zu den Bedrohungen und den Tools. Eine PDF-Version dieses Berichts lässt sich hier herunterladen.
Auch der Sicherheitsanbieter Mandiant warnt in obigem Tweet und diesem Beitrag vor einer Reihe neuartiger, auf industrielle Steuerungssysteme ausgerichteter Angriffswerkzeuge. Die INCONTROLLER genannten Tools wurden entwickelt, um industrielle Prozesse zu manipulieren und zu stören.
Anzeige
Das Projekt "Cyber Polygon" läuft. Alles wird medial auf einen grossen Reset in der bestehenden IT- und Technikwelt vorbereitet. Rechnet mit längeren Ausfällen in der Enegieversorgung und bei jeglichen IT-Dienstleistungen. Wieder am "neuen" Internet teilnehmen geht dann nur noch mit zentral gesteuertem persönlichen digitalen Zertifikat.
Wie finden solche Angriffe denn realistisch statt?
Sind solche Systeme direkt aus dem Internet erreichbar?
Ich gehe davon aus, dass da eine Kombination: Remote-Service-Zugänge, Programmierzugänge und Plant-Manager will per iPhone/iPad auf seine Anlagendaten zugreifen dürfen – zuschlägt. Und ich will nicht wissen, wie viele SPS-Steuerungen dann in kleineren Produktionsanlagen einem Netzwerk hängen, wo per Internet zugegriffen werden kann. Befrage ich Shodan.io mit diversen Suchbegriffen, werden mir da schon Treffer ausgeworfen (mal über den Begriff Simatic versuchen).
Man glaubt es ja nicht, aber schon der erste Treffer auf shodan.io zeigt eine Siemens S7 SPS welche online ist.
https://i.imgur.com/DN3CSVe.png
;-)