Neuer Angriff gegen kritische Infrastrukturen

Aktuell versuchen Hacker Betreiber kritischer Infrastrukturen anzugreifen. Ziel der Angriffe war es, über die Sicherheitssysteme Schäden an der physischen Infrastruktur anzurichten. Das berichtet der Sicherheitsdienstleister FireEye in einem Blog. Demnach sei es unbekannten Angreifern gelungen, Schadsoftware einzuschleusen. Der Angriff wurde nur durch einen Fehler der Hacker entdeckt. Die Täter hatten versehentlich Systems abgeschaltet.

Die Angreifer setzten an einem Triconex Safety Instrumented System (SIS) von Schneider Electric an. Die Angreifer hatten sich remote Zugang zu einer SIS-Workstation verschafft mit dem Ziel, den SIS-Controller neu zu programmieren. Dabei lösten sie die Ausfallsicherung aus, die wiederum automatisch die zu sichernden Industrieanlagen abschalteten. Daraufhin wurde eine Untersuchung eingeleitet.

Eine Gültigkeitsprüfung eines Anwendungscodes scheiterte und so wurde eine Fehlermeldung ausgeführt. FireEye leitet daraus ab, dass die Angreifer eigentlich versucht hatten, das Safety Instrumented System so zu verändern, dass es nicht mehr funktioniert, damit eine technische Störung zu einer Beschädigung der Anlage führt.

Für ihren Angriff nutzten die noch nicht identifizierten Täter das Triton Attack Framework. Es besteht aus einer ausführbaren Datei und einer an das Ziel – in diesem der Triconex-Controller – angepassten Dateibibliothek. Die Malware wurde unter anderem eingesetzt, um den Anwendungsspeicher des SIS-Controllers zu manipulieren.

Auch wenn FireEye keine Hinweise auf die Herkunft der Angreifer gefunden hat, geht es davon aus, dass die Täter mit staatlicher Unterstützung handelten. Das sollen die für den Angriff benötigten technischen Ressourcen und das Fehlen eines finanziellen Motivs nahelegen. Zudem sei die Absicht, einen physischen Schaden zu verursachen, untypisch für Cyberkriminelle.

Dabei soll die Malware Triton zum Einsatz gekommen sein, die sofort Einsatzbereit war. Daraus leiteten die Sicherheitsforscher ab, dass die Malware zuvor mit einem Triconex-System getestet wurde. Das setzt allerdings voraus, dass die Angreifer Zugriff auf die Systeme und die entsprechende Software hatten. Darüber hinaus implementiere Triton das proprietäre Kommunikationsprotokoll TriStation, das nicht öffentlich dokumentiert ist.

Für den Angriff auf Triconex-Sicherheitssysteme sieht FireEye nun mehrere Optionen: Durch die Neuprogrammierung des SIS-Controllers könnte ein False Positive ausgelöst werden, was die zu sichernde Anlage abschaltet und dem Betreiber einen finanziellen Schaden zufügt. Es könnte aber auch so manipuliert werden, dass eine Störung nicht erkannt wird, was wiederum zu einer Beschädigung der Anlage, Umweltschäden oder einer fehlerhaften Produktion führen könnte.

Name und Branche des Opfers verschweigt FireEye aus Sicherheitsgründen.  Schneider Electric bestätigte den Vorfall zudem gegenüber der Agentur Reuters. Aber auch in diesem Fall blieb die Identität der angegriffenen Organisation ungenannt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.