{"id":272969,"date":"2022-09-17T20:07:41","date_gmt":"2022-09-17T18:07:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272969"},"modified":"2023-11-30T17:13:35","modified_gmt":"2023-11-30T16:13:35","slug":"ghostsec-schlgt-erneut-zu-und-nimmt-wasserhygiene-ins-visier","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/17\/ghostsec-schlgt-erneut-zu-und-nimmt-wasserhygiene-ins-visier\/","title":{"rendered":"GhostSec schl&auml;gt erneut zu und nimmt Wasserhygiene ins Visier"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/09\/18\/ghostsec-schlgt-erneut-zu-und-nimmt-wasserhygiene-ins-visier\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Anfang September <a href=\"https:\/\/web.archive.org\/web\/20230726143653\/https:\/\/www.otorio.com\/blog\/pro-palestinian-hacking-group-compromises-berghof-plcs-in-israel\/\" target=\"_blank\" rel=\"noopener\">berichtete OTORIO<\/a>, das die Hackergruppe GhostSec in 55 Berghof-SPS-Systeme in Israel eingedrungen sei. Nun ver\u00f6ffentlichte die Hacktivistengruppe eine weitere Meldung, in der sie behauptete, erfolgreich in weitere industrielle Steuerungssysteme eingedrungen zu sein. OTORIA hat mir einige Informationen zu diesen Angriffen bereitgestellt, die ich hier im Blog ver\u00f6ffentliche.<\/p>\n<p><!--more--><\/p>\n<p>Den von GhostSec ver\u00f6ffentlichten Bildern zufolge schien die Gruppe die Kontrolle \u00fcber den pH-Wert und den Chlorgehalt eines Wassersystems \u00fcbernommen zu haben. In der ver\u00f6ffentlichten Nachricht erkl\u00e4rten die Hacktivisten, dass sie \"den Schaden verstehen, der angerichtet werden kann &#8230;\" und dass die \"pH-Pumpen\" eine Ausnahme f\u00fcr ihre anti-israelischen Cyberkampagnen darstellen.<\/p>\n<p><img decoding=\"async\" title=\" GhostSec message\" src=\"https:\/\/i.imgur.com\/jjbDkx9.png\" alt=\" GhostSec message\" \/><\/p>\n<p>Im Gegensatz zu den Aktivit\u00e4ten der Hacktivisten, \u00fcber die OTORIO letzte Woche berichtete, wurden dieses Mal au\u00dfer ein paar Screenshots keine spezifischen Details \u00fcber den Hack (z. B. eine IP-Adresse, Daten-Dumps des angegriffenen Systems) ver\u00f6ffentlicht. Wie schon im oben verlinkten Fall wollten die OTORIO-Sicherheitsspezialisten herausfinden, wie GhostSec Zugang zu dem frisch geknackten Controller erlangt hat. Anhand der Daten im Bild konnte das OTORIO-Forschungsteam das betroffene System jedoch erfolgreich aufsp\u00fcren und sich einen Eindruck davon verschaffen, was und wie es anscheinend durchbrochen wurde.<\/p>\n<h2>Der angegriffene Controller<\/h2>\n<p>&nbsp;<\/p>\n<p>Bei dem betroffenen Controller handelt es sich um einen <a href=\"https:\/\/www.prominent.com\/en\/Products\/Products\/Measuring-Control-and-Sensor-Technology\/Controllers\/p-aegis-ii.html\" target=\"_blank\" rel=\"noopener\">Aegis II Controller des Herstellers ProMinent<\/a>, der auf der Website des Unternehmens wie folgt beschrieben wird:<\/p>\n<blockquote><p><i>Der AEGIS II Controller misst und steuert kontinuierlich die Leitf\u00e4higkeit und die Biozidkonzentration, um Rohrleitungen und W\u00e4rmetauscher sauber zu halten.<\/i><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>Die Anwendungen des AEGIS II Controllers umfassen:<\/p>\n<ul>\n<li>Regelung der Entl\u00fcftung in Verdunstungsk\u00fchlsystemen<\/li>\n<li>olumenproportionale Steuerung oder Regelung der Dosierung von Korrosionsinhibitoren, Entsch\u00e4umern und Dispergiermitteln<\/li>\n<li>Messung und Regelung der Inhibitorkonzentration durch den Einsatz eines Fluoreszenzsensors<\/li>\n<li>Messung und ggf. Regelung des pH-Wertes und der Redox-Spannung<\/li>\n<li>Dosierung von Bioziden, basierend auf Zeit oder Messwerten<\/li>\n<\/ul>\n<p>Das System misst zwar den pH-Wert und andere Parameter, doch scheint sein Einsatz eher auf Nicht-Trinkwasser ausgerichtet zu sein, da f\u00fcr Trinkwasser eine viel gr\u00f6\u00dfere Bandbreite an Parametern \u00fcberwacht und konfiguriert werden muss. Weitere Details deuten darauf hin, dass dieses System nicht zur Regelung von Trinkwasserparametern gedacht ist.<\/p>\n<h2>Die Suche nach dem Opfer<\/h2>\n<p>&nbsp;<\/p>\n<p>Nachdem die Sicherheitsforscher nun mehr \u00fcber den betroffenen Controller wussten, versuchten sie, das System zu finden, in das GhostSec eingedrungen war. Nachdem sie nach Aegis-II-Controllern gesucht hatten, die in Israel per Internet erreichbar sind, gelang es ihnen, den angegriffenen Controller zu finden.<\/p>\n<p>Interessanterweise stimmt die IP-Adresse mit IP-Bereichen \u00fcberein, die mit Sicherheitsverletzungen des oben erw\u00e4hnten Angriffs von Anfang September 2022 in Verbindung stehen. M\u00f6glicherweise sucht die Gruppe die IP-Adressen in diesem Bereich nach potenziellen neuen Zielen ab.<\/p>\n<p>Die Nachforschungen ergaben, dass zwei Swimmingpool-Steuerungen betroffen sein k\u00f6nnten. So scheint es, dass das wahrscheinlichste Ziel des Eindringens darin bestand, zu zeigen, dass die Angreifer in der Lage sind, den pH-Wert des Wassers in den Pools des Hotels zu kontrollieren. Dies wurde in der Telegram-Nachricht von GhostSec behauptet.<\/p>\n<h2>Schwachstellen: Internet und Standard-Passw\u00f6rter<\/h2>\n<p>Wie bei der fr\u00fcheren <a href=\"https:\/\/web.archive.org\/web\/20230726143653\/https:\/\/www.otorio.com\/blog\/pro-palestinian-hacking-group-compromises-berghof-plcs-in-israel\/\" target=\"_blank\" rel=\"noopener\">OT-Sicherheitsstudie<\/a> im Bereich der Wasserhygiene sind die Administrationspanels der AEGIS-II-Steuerungen f\u00fcr diese beiden Pools leider auch \u00fcber die im Handbuch des Herstellers angegebenen Standardpassw\u00f6rter zug\u00e4nglich.<\/p>\n<h3>Behebung der OT-Sicherheitsl\u00fccke<\/h3>\n<p>&nbsp;<\/p>\n<p>OTORIO informierte das israelische <a href=\"https:\/\/web.archive.org\/web\/20231011134215\/https:\/\/www.gov.il\/he\/departments\/israel_national_cyber_directorate\/govil-landing-page\" target=\"_blank\" rel=\"noopener\">Cyber Emergency Response Team<\/a> (CERT) \u00fcber die Einzelheiten des Sicherheitsversto\u00dfes und arbeitete eng mit den Beh\u00f6rden zusammen, um den Vorfall schnell zu beheben. Aktuell ist der Controller nicht mehr \u00f6ffentlich zug\u00e4nglich.<\/p>\n<p>Dieser Vorfall ist wieder einmal ein Beispiel f\u00fcr ein Unternehmen, das eine schlechte Passwortpolitik verfolgt und die <a href=\"https:\/\/www.zdnet.com\/article\/new-iot-security-rules-stop-using-default-passwords-and-allow-software-updates\/\" target=\"_blank\" rel=\"noopener\">Standard-Zugangsdaten<\/a> einfach nicht ge\u00e4ndert hat. Zudem war das System ohnehin dem Internet ausgesetzt, was es zu einem \u00e4u\u00dferst leichten Ziel f\u00fcr Cyberangriffe machte.<\/p>\n<p>Auch wenn der Schaden \u2013 diesmal \u2013 nicht so gro\u00df ist, wie er h\u00e4tte sein k\u00f6nnen, versprach die Hackergruppe in ihrer Telegram-Nachricht, dass sie die israelische Wasserversorgung nicht angreifen werde. GhostSec behauptet, die Hacker h\u00e4tten auch Schlimmeres anrichten k\u00f6nnen. Im Falle einer anderen aktiven Hackergruppe k\u00f6nnten die Risiken eines \u00e4hnlichen Cyberangriffs potenziell enorm sein.<\/p>\n<p>Generell zeigen die j\u00fcngsten Aktivit\u00e4ten von GhostSec, wie schlecht es um die Cybersicherheit in industriellen Steuerungssystemen (Industrial Control Systems, ICS) bestellt ist. Diese j\u00fcngsten, \u00f6ffentlich bekannt gewordenen Vorf\u00e4lle deuten auf weitere hin, die OTORIO noch nicht bekannt sind oder die sich in Zukunft ereignen k\u00f6nnten.<\/p>\n<blockquote><p>OTORIO ist ein OT-Sicherheitsunternehmen (Operational Technology bzw. Betriebstechnologie), das \"End-to-End\"-L\u00f6sungen f\u00fcr proaktives digitales Risikomanagement in Industrieunternehmen\u00a0 anbietet.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>[English]Anfang September berichtete OTORIO, das die Hackergruppe GhostSec in 55 Berghof-SPS-Systeme in Israel eingedrungen sei. Nun ver\u00f6ffentlichte die Hacktivistengruppe eine weitere Meldung, in der sie behauptete, erfolgreich in weitere industrielle Steuerungssysteme eingedrungen zu sein. OTORIA hat mir einige Informationen zu &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/09\/17\/ghostsec-schlgt-erneut-zu-und-nimmt-wasserhygiene-ins-visier\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-272969","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272969","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272969"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272969\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272969"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272969"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272969"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}