Industrial Security im IoT-Zeitalter

So attackiert Malware die OT-Netze der Smart Factory

08.08.2018
Von 
Marcel Kisch ist weltweiter Leiter IBM Security Manufacturing IoT (Industrie 4.0).
Egal ob Atomkraftwerk oder Produktionslinie in der Fabrik. Unsere moderne IoT-Welt gerät immer mehr ins Fadenkreuz von Malware wie WannaCry, NotPetya, TRISIS etc. Wir zeigen wo die Risiken für die OT-Netze (Operational Technology) liegen.
Angriffe auf OT-Netze können komplette Betriebsabläufe lahmlegen.
Angriffe auf OT-Netze können komplette Betriebsabläufe lahmlegen.
Foto: Pand P Studio - shutterstock.com

Obwohl es diese Domäne schon rund 30 Jahre gibt, rückt mit dem zunehmendem Einsatz von IoT-Technologien (Internet of Things) auch die Sicherheit sogenannter OT-Netze (Operational Technology) stärker in den Fokus. Wird die Unternehmens-IT gehackt, kostet dies die Betroffenen vor allem Geld und Nerven. Beim Angriff auf OT-Netze und -Maschinen können dagegen komplette Betriebsabläufe, der Werker an der Maschine oder wir alle beim morgendlichen Kaffeekochen mit der smarten Kaffeemaschine ernsthaft gefährdet werden.

Angst vor den Maschinen im Raum? Gar nicht so abwegig: WannaCry, NotPetya und Industroyer waren jüngst in der Lage, in OT-Umgebungen vorzudringen und Produktionsabläufe in den betroffenen Unternehmen ernsthaft zu stören. Maschinen streikten und Haushalte wurden nicht mehr mit Strom beliefert. Auch das ehemalige Kernkraftwerk Tschernobyl war von den Anschlägen betroffen. Eine Analyse beispielhafter Cyber-Angriffe hilft zu verstehen, welche Sicherheitsvorfälle entstanden sind und was die Auswirkungen waren.

WannaCry: eine Windows-Schwachstelle provoziert Zerstörungswut

Selbst Kernkraftwerke werden mittlerweile mit Malware angegriffen.
Selbst Kernkraftwerke werden mittlerweile mit Malware angegriffen.
Foto: Thorsten Schier - shutterstock.com

Der WannaCry Ransomware-Angriff im Mai 2017 konzentrierte sich zunächst scheinbar nur auf medizinische und administrative Netzwerke in britischen Krankenhäusern. Er weitete sich jedoch nach seinem Ausbruch noch in derselben Nacht auf mehr als 150 Länder und verschiedene Branchen aus. In mehreren Produktionsbetrieben in Europa und Asien kam es zu wiederkehrenden Ausfallzeiten.

Als Infektionsursache wurde eine Malware identifiziert, die öffentliche Adressräume im Internet scannte und sich wie ein Lauffeuer in den Netzen verbreitete, bei denen das Server-Message-Block-Netzwerkprotokoll für externe Verbindungen geöffnet war. Um sich auszubreiten und Systeme infizieren zu können, verwendete die Malware von der NSA gestohlene Exploits, die eine bekannte Schwachstelle im Windows-Betriebssystem ausnutzten. Zwar war bereits im März 2017 ein Patch für diese Windows-Schwachstelle veröffentlicht worden, doch - wie so oft - aktualisierten viele Unternehmen ihre Systeme nicht rechtzeitig oder vertrauten auf eine Trennung von IT- und OT-Netzwerken.

Bei den betroffenen Unternehmen und Organisationen unterbrach die WannaCry-Ransomware die Betriebsabläufe. Sie verschlüsselte wichtige Unternehmens- und Administrationsdaten und forderte für deren Freigabe eine Bezahlung. Der ausgeklügelte Verschlüsselungs- und Zahlungsprozess von WannaCry führte zunächst zu dem Schluss, dass der Angriff finanziell motiviert war. Ziel war es jedoch auch, zu zerstören und Störungen zu verursachen - die dabei gesammelten Bitcoins spielten eine eher untergeordnete Rolle.

NotPetya: Versteckt in Steuersoftware soll Malware der Ukraine schaden

Immer häufiger verzeichnen Unternehmen Produktionsstörungen, weil in ihre Netze eingedrungen wurde.
Immer häufiger verzeichnen Unternehmen Produktionsstörungen, weil in ihre Netze eingedrungen wurde.
Foto: xieyuliang - shutterstock.com

Ende Juni erfolgte der nächste Malware-Angriff. Aufgrund seiner Ähnlichkeit zur bekannten Ransomware "Petya" erhielt er den Namen "NotPetya". Der Angriff traf zuerst Regierungsbehörden und Unternehmen in der Ukraine und breitete sich dann in ganz Europa und den USA aus. Versteckt wurde die Malware vermutlich in einem Software-Update einer populären Steuer- und Buchhaltungssoftware, die in der Ukraine verwendet wurde. Das legte die Vermutung nahe, dass es sich um einen geografisch ausgerichteten Angriff handelte. Ziel des Angriffs wurden auch kritische Infrastrukturen des Landes. So mussten die automatisierten Strahlungssensor-Mess- und -Alarmsysteme im Kernkraftwerk Tschernobyl einen Tag lang auf manuelle Messung umgestellt werden. Außerdem wurde berichtet, dass einige Stahl-, Öl-, Gas- und Baufirmen in der Ukraine, Russland und Polen durch den Cyberangriff Produktionsstörungen verzeichneten.

Wie bei WannaCry nutzte NetPetya ungepatchte Schwachstellen, um sich auszubreiten. Daneben gab es jedoch auch weitere Infektionswege, indem legale Administrations-Tools zur Verbreitung und Installation genutzt wurden, etwa um Windows-Anmeldeinformationen zu erfassen. Dabei wurde versucht, den verdächtigen Netzwerkverkehr so gering wie möglich zu halten. So konnte sich die Malware weiter über das Netzwerk ausbreiten und schließlich sogar gepatchte Systeme infizieren.

NotPetya funktionierte wie ein zerstörerisches Festplattenspeichermodul und machte infizierte Systeme durch die Verschlüsselung des Master Boot Record (MBR) auf den Festplatten absichtlich unbrauchbar. Abgesehen von einer wenig glaubwürdigen Zahlungsaufforderung, die auf einer einzigen öffentlichen E-Mail-Adresse beruhte, funktionierte auch die Verschlüsselungs- und Entschlüsselungsfunktion in der Malware nicht. Wie WannaCry war also auch NotPetya primär mit dem Ziel entwickelt worden, Daten zu zerstören.

Industroyer: Gezielte Industrie-Attacke verdunkelt Kiew an Heiligabend

In Kiew war es an Heiligabend nach einem Angriff auf ein Umspannwerk dunkel.
In Kiew war es an Heiligabend nach einem Angriff auf ein Umspannwerk dunkel.
Foto: NESPIX - shutterstock.com

Industroyer, auch als CrashOverride bekannt, war ein gezielter Angriff auf ein 200-Megawatt-Umspannwerk in der Ukraine Ende Dezember 2016. Der Angriff nahm das Umspannwerk vom Netz. Es war über eine Stunde offline und konnte vom Betreiber nicht gesteuert werden. Das führte zu einem Stromausfall in der ukrainischen Hauptstadt Kiew - wenige Stunden vor Heiligabend. Seither wurden verschiedene Teile der Malware untersucht. Die raffinierte Malware ist modular aufgebaut und anpassbar und dabei gezielt auf Industrial Control Systeme (ICS) ausgerichtet, um einen größtmöglichen Schaden anzurichten.

Industroyer war der gezielteste der drei Malware-Angriffe. Sein Angriffsvektor ist bis heute unbekannt. Doch das Erschreckendste ist, dass Experten vermuten, damit sollte nur die Machbarkeit eines zukünftigen Cyberangriffs getestet werden. Ziel des Angriffs war es also eher, Informationen zu sammeln, um irgendwann einmal in der Lage zu sein, ganze Betriebsabläufe zu stoppen oder einzelne Geräte gezielt zerstören zu können. Durch den Fall Industroyer wurde deutlich, dass gezielte Angriffe auf industrielle Prozesse durch Hacker kein Einzelfall mehr sind. Der Industroyer-Code enthält gültige Steuerbefehle und kann den Betrieb tatsächlich unterbrechen. Noch gravierender: Es gibt Hinweise darauf, dass der Malware-Code dem Control Center falsche Werte liefern kann (wie Stuxnet) oder ein Umspannwerk in einen Fail-Safe-Modus versetzen kann, was einem Denial-of-Service (DOS) auf Relais gleichkommt.

Ende des Jahres 2017 gab es dann erste Publikationen zu einem direkten Angriff auf ein Safety-System, die neu entdeckte Malware heißt TRISIS und führt durch Manipulation des Safety Systems zu einem sicherheitsbedingten Herunterfahren von Industrieprozessen. Hier wissen wir jedoch noch sehr wenig über die Details des Angriffs.

Was können wir aus diesen disruptiven Angriffen lernen?

WannaCry beschränkt sich bei seinen Angriffen - anders als NotPetya - nur auf ungepatchte Systeme. So scheint auf den ersten Blick ein frühzeitiges Patchen die beste Vorsichtsmaßnahme gegen die Bedrohung zu sein. Doch OT-Netze sind wesentlich komplexer und diffiziler. Warum? Produktionsmaschinen sind in der Regel vom Hersteller zertifiziert, um Informationen beinahe in Echtzeit zu verarbeiten. Jede ungetestete Änderung kann unerwünschte Auswirkungen auf die Produktionsparameter haben. In extremen Fällen kann eine in bester Absicht getroffene Sicherheitsmaßnahme (etwa das Patchen von Schwachstellen) zu einem inakzeptablen Risiko für den gesamten Betriebsprozess führen. Daher sind die klassischen IT-Sicherheits-Maßnahmen für OT-Bereiche nicht immer anwendbar.