Neuer Angriff gegen kritische Infrastrukturen

Aktuell versuchen Hacker Betreiber kritischer Infrastrukturen anzugreifen. Ziel der Angriffe war es, über die Sicherheitssysteme Schäden an der physischen Infrastruktur anzurichten. Das berichtet der Sicherheitsdienstleister FireEye in einem Blog. Demnach sei es unbekannten Angreifern gelungen, Schadsoftware einzuschleusen. Der Angriff wurde nur durch einen Fehler der Hacker entdeckt. Die Täter hatten versehentlich Systems abgeschaltet.

Stromleitungen (Bild: Peter Marwan)

Die Angreifer setzten an einem Triconex Safety Instrumented System (SIS) von Schneider Electric an. Die Angreifer hatten sich remote Zugang zu einer SIS-Workstation verschafft mit dem Ziel, den SIS-Controller neu zu programmieren. Dabei lösten sie die Ausfallsicherung aus, die wiederum automatisch die zu sichernden Industrieanlagen abschalteten. Daraufhin wurde eine Untersuchung eingeleitet.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Eine Gültigkeitsprüfung eines Anwendungscodes scheiterte und so wurde eine Fehlermeldung ausgeführt. FireEye leitet daraus ab, dass die Angreifer eigentlich versucht hatten, das Safety Instrumented System so zu verändern, dass es nicht mehr funktioniert, damit eine technische Störung zu einer Beschädigung der Anlage führt.

Für ihren Angriff nutzten die noch nicht identifizierten Täter das Triton Attack Framework. Es besteht aus einer ausführbaren Datei und einer an das Ziel – in diesem der Triconex-Controller – angepassten Dateibibliothek. Die Malware wurde unter anderem eingesetzt, um den Anwendungsspeicher des SIS-Controllers zu manipulieren.

Ausgewähltes Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Auch wenn FireEye keine Hinweise auf die Herkunft der Angreifer gefunden hat, geht es davon aus, dass die Täter mit staatlicher Unterstützung handelten. Das sollen die für den Angriff benötigten technischen Ressourcen und das Fehlen eines finanziellen Motivs nahelegen. Zudem sei die Absicht, einen physischen Schaden zu verursachen, untypisch für Cyberkriminelle.

Dabei soll die Malware Triton zum Einsatz gekommen sein, die sofort Einsatzbereit war. Daraus leiteten die Sicherheitsforscher ab, dass die Malware zuvor mit einem Triconex-System getestet wurde. Das setzt allerdings voraus, dass die Angreifer Zugriff auf die Systeme und die entsprechende Software hatten. Darüber hinaus implementiere Triton das proprietäre Kommunikationsprotokoll TriStation, das nicht öffentlich dokumentiert ist.

Für den Angriff auf Triconex-Sicherheitssysteme sieht FireEye nun mehrere Optionen: Durch die Neuprogrammierung des SIS-Controllers könnte ein False Positive ausgelöst werden, was die zu sichernde Anlage abschaltet und dem Betreiber einen finanziellen Schaden zufügt. Es könnte aber auch so manipuliert werden, dass eine Störung nicht erkannt wird, was wiederum zu einer Beschädigung der Anlage, Umweltschäden oder einer fehlerhaften Produktion führen könnte.

Name und Branche des Opfers verschweigt FireEye aus Sicherheitsgründen.  Schneider Electric bestätigte den Vorfall zudem gegenüber der Agentur Reuters. Aber auch in diesem Fall blieb die Identität der angegriffenen Organisation ungenannt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

View Comments

  • Wie darf man diesen Satz verstehen:
    "Unternehmen und Branche des Opfers verschweigt FireEye zum Schutz des Kunden nicht. "
    ??

    • Hallo Herr Raudszus,

      vielen Dank für den Hinweis, da hat sich eine Verneinung hineingeschlichen. Ist korrigiert.

      Liebe Grüße und eine schöne Adventszeit.

      Martin Schindler

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago