Cyber-Sabotage

Philipp Schaumann - Letzte Aktualisierung: Jan. 2020

In der Medienöffentlichkeit wird zumeist mit den Begriffen Cyber-Sabotage, Cyber-Terrorismus, Cyber-Krieg und Cyber War sehr großzügig und schlampig gearbeitet. Da sind viele Angriffe auf Computersysteme schnell mal ein Cyber War. Ich verwende hier strengere Definitionen. Nicht jede Aktion gegen einen Staat ist ein Krieg. Dafür müssen die Angriffe einem Angreifer zuordenbar sein und es müssen sich auch beide Parteien beteiligen, d.h. eine Sabotage-Aktion für sich allein ist kein Krieg. An anderer Stelle mehr zu den Definitionen von Cyber-Sabotage, Cyber-Terrorismus, Cyber-Krieg - Cyber War.

Aktuell 2020

Nachdem auf der 36C3-Konferenz Ende 2019 Kaspersky über schwere Sicherheitslücken in Kraftwerkssteuersoftware von Siemens präsentiert hatte warnt nun das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) vor entsprechenden Angriffen.

 

Die Geschichte von Cyber-Angriffen auf kritische Infrastrukturen - Zeitlicher Überblick

2000
Eines der wenigen bekannten älteren Beispiele für eine erfolgreiche Cyber-Sabotage ist der Angriff auf eine australische Kläranlage in 2000, bei der ein Ex-Mitarbeiter mehrere Millionen Liter Abwasser in Flüsse, Parks und auf das Grundstück eines großen Hotels laufen lies (Maroochy-Water-Services-Case-Study).

2008
2014 erscheint ein Bericht über eine Aktion in 2008: Cyber-Attacke soll Ölpipeline in der Türkei zerstört haben. Hier ein weiterer Artikel zur Pipeline in der Türkei. Beide Artikel berichten viele Details: Es wird vermutet, dass Angreifer sich über die Verkabelung der externen Videokameras in das interne Netz gehackt haben und dann den Druck manipuliert. Der Verdacht fällt auf Russland, auch wenn kurdische Separatisten offiziell die Verantwortung übernommen haben.

2010
Stuxnet, viele Details dazu weiter unten.

April 2011:
Studie: Stuxnet befällt deutsche Energieversorger. Heise:de schreibt dazu:

    "Im Rahmen einer Studie des Antivirenherstellers McAfee antworteten 59 Prozent der befragten Strom-, Gas- und Wasserversorger aus Deutschland, dass sie den Stuxnet-Wurm in ihren Systemen entdecken konnten. Nach bisherigem Kenntnisstand hat der Schädling bei den Firmen keinen Schaden angerichtet; Stuxnet hat es vermutlich auf eine iranische Urananreicherungsanlage in Natanz abgesehen und wird nur aktiv, wenn es sein Ziel identifiziert hat. "Hätten seine Schöpfer den Wurm jedoch anders konfiguriert, wäre das Schadenspotential immens gewesen", so McAfee-Manager Hans-Peter Bauer."

Zur gleichen Studie: Warnung vor Angriffen auf Stromnetze. Und der Report von McAfee: Dramatic Increase in Cyberattacks and Sabotage on Critical Infrastructure. Ebenso Cyberattack leaves natural gas pipelines vulnerable to sabotage.

2012
Ein Angriff auf den saudi-arabischen Ölkonzern Aramco zerstört 30 000 Windows-Rechner und legt das Unternehmen für einige Zeit lahm. Die Software die genutzt wird bekommt den Namen Shamoon und der Verdacht fällt auf den Iran, eine mögliche Racheaktion für Stuxnet.

2013
Mehr Berichte über Angriffe auf Öl- und Gaspipelines: Cyber Attacks on U.S. Oil, Natural Gas Operators Increasing.

Mai 2013:
Es gibt Berichte über angebliche Angriffe aus dem Iran: Iran Hacks Energy Firms, U.S. Says. Der Punkt des Artikels ist: die chinesischen Hacker versuchen lediglich, Daten zu stehlen, die iranischen Hacker scheinen ernstere Angriffsziele zu haben: die Störung von Öl- und Gas-Pipelines. Zitat: "They proceeded 'far enough to worry people,' one former official said." Diese Angriffe werden auch deutlich ernster gesehen als die seit vielen Monaten laufenden DoS-Angriffe gegen US-Banken.

2014
Das bundesdeutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Anfang 2014 seinen Jahresbericht 2014. Daraus hier einige Beispiele für Angriffe auf Industriesteuerungen.

3.3 Vorfälle in der Wirtschaft

3.3.1 APT-Angriff auf Industrieanlagen in Deutschland - Gezielter Angriff auf ein Stahlwerk mit massiven Schäden bei einem Hochofen

Mittels Spear-Phishing und ausgefeiltem Social Engineering erlangten Angreifer initialen Zugriff auf das Büronetz des Stahlwerks. Von dort aus arbeiteten sie sich sukzessive bis in die Produktionsnetze vor. Es häuften sich Ausfälle einzelner Steuerungskomponenten oder ganzer Anlagen. Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in einem undenierten Zustand befand. Die Folge waren massive Beschädigungen der Anlage.

Die Kompromittierung erstreckte sich auf eine Vielzahl unterschiedlicher interner Systeme bis hin zu industriellen Komponenten. Das Know-how der Angreifer war nicht nur im Bereich der klassischen IT-Sicherheit sehr ausgeprägt, sondern erstreckte sich auch auf detailliertes Fachwissen zu den eingesetzten Industriesteuerungen und Produktionsprozessen.

3.3.3 Dragonfly – gezielte Angriffe auf Produktionsnetze

Mit dem 2014 bekannt gewordenen Schadprogramm Havex griff die sogenannte Dragonfly-Gruppe (auch geläufig unter dem Namen Energetic Bear - mehr dazu weiter unten) mehrere Dutzend deutsche Unternehmen an.

Im Rahmen der Angriffskampagne kam ein neuer Angriffsweg zum Einsatz: Im ersten Schritt griffen die Täter die Hersteller von Software für Industriesteuerungssysteme an. Den entsprechenden Installationsdateien auf den Downloadservern der Anbieter wurde das Schadprogramm Havex angehängt, sodass die Kunden bei der Installation der legitimen Software zugleich auch die Schadsoftware auf ihr System brachten. In einigen Fällen wurde von dieser dann ein Modul nachgeladen, das gezielt Informationen über die im Produktionsnetz verwendeten Geräte und Systeme sammelte und an die Täter weiterleitete.

Mittels Havex wurde gezielt Schadsoftware im Bereich industrieller Steuerungssysteme eingesetzt, um Informationen zu sammeln. Es ist davon auszugehen, dass die Täter diese Informationen in einem nächsten Schritt für weitere Angriffe verwenden. In Zusammenarbeit mit dem Bundeskriminalamt informierte das BSI mehrere Dutzend Firmen in Deutschland, die Opfer der Dragonfly-Kampagne wurden.

3.4.2 Österreich: Fehlfunktion in der Steuerung von Energienetzen

2013 wurden in verschiedenen österreichischen Leittechniknetzwerken für die Steuerung von Energienetzen Anomalien im Datenstrom festgestellt. Diese verursachten bei mehreren Verteilnetz und Kraftwerksbetreibern Einschränkungen sowie vereinzelte Ausfälle in der Datenübertragung.

Die Fehlfunktion wurde vermutlich durch einen Steuerungsbefehl im Rahmen einer Inbetriebnahme im Netzwerk eines Gasnetzbetreibers im Süden Deutschlands ausgelöst und erreichte auch das österreichische Energienetz. Es erfolgte eine Weiterleitung an unterschiedliche Betreiber. Aufgrund der nicht spezifizierten Verarbeitung dieser Nachricht in einzelnen Komponenten des Netzwerks wurde der Befehl in einer Endlosschleife versendet. Diese löste erhebliche Störungen der Leittechnik für die Netzsteuerung aus.

Die Netzstabilität konnte während des Vorfalls nur unter hohem Aufwand sichergestellt werden. Während der Störung wurden erhebliche Datenmengen erzeugt, die zu Logdaten-Überläufen führten. Die Ursache des Vorfalls ließ sich deshalb nicht abschließend analysieren.

Juni 2014:
Russian Hackers Targeting Oil and Gas Companies - nach diesem Bericht seit 2011.

2015
Weiter unten: BlackEnergy 2015 in der Ukraine

2016
Weiter unten: Crashoverride/Industroyer 2016 in der Ukraine.
In Deutschland Angriffe gegen ThyssenKrupp mit Diebstahl von Firmengeheimnissen.

2017/18
Weiter unten: Angriffe gegen die Raffinerien in Saudi-Arabien

Ab 2017:
Vermehrte Angriffe gegen die Energieversorgungsinfrastruktur in den USA und Westeuropa. Mehr dazu und zur generellen Problematik der Verwundbarkeit unserer Energieversorgung weiter unten.

2018
Angriffe gegen Industrieanlagen bleiben hochaktuell: Warnings As Destructive 'Shamoon' Cyber Attacks Hit Middle East Energy Industry. Der Artikel beschreibt, dass Energie-Unternehmen im Nahen Osten 2 heftige Angriffe erlebt haben (Saipem, eine italienische Firma mit Sitz im Nahen Osten, UK und Italien, sowie eine weitere Firma in den Vereinigten Emiraten (UAE).

Ein weiterer Angriff war gegen eine ungenannte Raffinerie in Saudi-Arabien. Ziel war wohl eine Zerstörung der Anlage, durch einen Fehler im Programmcode trat dies nicht ein.

Die Software war Shamoon, die bereits vor Jahren 30 000 Rechner bei Saudi Aramco zerstört hatte und dem Iran zugeschrieben wird. Die Nutzung dieser Software beweist natürlich nicht, dass auch dieser Angriff vom Iran gestartet wurde, Software kann von jedem wiederverwendet werden.

Die Deutsche Welle berichtet über weitere Angriffe auf deutsche Industrieanlagen in 2018 (China wird als Angreifer vermutet): Ein Stahlwerk in Hagen Hohenlimburg und Bayer werden genannt.

2019
Generell scheinen viele Infrastruktur-Betreiber nicht viel dazu zu lernen. Ein Test aus 2019 zeigte in Deutschland weiterhin drastische Sicherheitslücken bei Infrastruktur-Systemen, die im Internet (mehr oder weniger) leicht angreifbar sind.

Eine Sicherheitsfirma berichtet über eine Schadsoftware Triton die es offenbar auf Sicherheitsprozesse in Kraftwerken und anderer kritischer Infrastruktur abgesehen hat. Die Gruppe hinter der Schadsoftware Triton ist weohl bereits seit mindestens 2014 aktiv und wird in Russland vermutet. Ein Zusammenhang mit einem Angriff 2018 auf eine (ungenannte) Raffinerie in Saudi-Arabien wird vermutet (siehe oben).

 

 

Mehr zu den Sicherheitsproblemen im SCADA-Umfeld generell weiter unten und mehr zum Spezialfall Smart Meter und Smart Grid an anderer Stelle. Alle diese Angriffe können Teil eines Cyberwars sein.

Auf der Seite der privaten Nutzer läuft das Thema der allgemeinen Vernetzung unter Smart Home, Home Automation, Smart City und "Smart Everything", zusammengefasst oft mit Internet of Things (IoT).

2019: ein umfassender Text Cyberwar: The Complete Guide beschreibt die Angriffe und ihre Schäden von den Anfängen, über Stuxnet, NotPetya bis heute.

 

2010 Stuxnet im Iran

Stuxnet ist eine längere Geschichte. Weil es einer der ersten großen bekannt gewordenen Angriffe war ist er ausführlich analysiert worden. Wer gleich zur Auflösung Juni 2012 springen will: hier die Lösung des Stuxnet-Rätsels weiter hinten

2016: Der Film 'Zero Days' behauptet, STUXNET wäre nur ein kleiner Teil eines geplanten viel umfassenderen Angriffs auf den Iran gewesen. Der Plan wäre gewesen, die gesamte kritische Infrastruktur des Irans lahm zu legen. Die USA hatten aber dann ethische und politische Bedenken, Israel preschte daher mit dem Angriff gegen die Zentrifugen vor. Mehr Details im Artikel.

Juni 2016: FireEye berichtet von einer Schadsoftware die sie Irongate getauft haben, und die ICS, d.h. industrial control systems angreift. Die Software wurde (noch) nicht im Einsatz beobachtet, ein Verdacht ist, dass es sich um einen Test oder Proof-of-Concept handelt.

Das Thema fing eigentlich relativ harmlos an: Siemens hat in seiner SCADA Software hardcoded-passwords für den Zugriff der Applikation zur MS-SQL-Datenbank. Und jemand hatte bereits vor Jahren das Passwort in einem Support-Blog veröffentlicht. Und Siemens sagt, bitte bitte nicht ändern, sonst geht ja die Applikation (z.B. das Kraftwerk) nicht mehr.

Und damit die Schadsoftware die dieses Passwort ausnutzt um die Spionage zu betreiben auch sauber installiert haben sich die Angreifer die Mühe gemacht und die Software sauber digital signiert und zwar mit (vermutlich gestohlenen) private keys von taiwanesischen Herstellern (Realtek Semiconductor und JMicron Technology Corp).

Und dann stellt sich heraus, dass das Ganze noch viel komplexer ist. Die Schadsoftware stielt nicht nur Daten, sie greift direkt in Industrial Control Systems (ISC) ein (die als Untermenge die SCADA-Systeme enthalten). ISCs bestehen aus Programmable Logic Controllers (PLC) (speicherprogrammierbare Steuerungen) die mit Hilfe dieser Systeme programmiert und gesteuert werden. ISCs verwalten den Code für die PLCs. Im Fall der Siemens S-7 Steueranlagen wird die Software in den PLCs durch eine Windows-Software WinCC kontrolliert und gewartet.

Simatic Darstellung
Quelle: f-secure.com - Klick bringt volle Version

Die FAZ schreibt: "Der digitale Erstschlag ist erfolgt"

    Die Software für diese Visualisierung der Parameter und die zentralisierte Programmierung der einzelnen kleinen SPS-Steuercomputer heißt bei Siemens WinCC und läuft unter Windows. Stuxnet sucht nun von einmal infizierten Computern aus gezielt nach den WinCC-Installationen im gesamten Netz. Über diese gelingt dem Schadprogramm dann der Sprung auf die eigentlichen SPS-Steuercomputer der Anlage.
    Auf vielen Ebenen stellt stuxnet sicher, dass die Verbreitung absolut zuverlässig und unbemerkt vor sich geht. Am Ziel angekommen, also auf einer passenden Siemens-Industrieanlage, stellen umfangreiche Überprüfungen sicher, dass wirklich nur die spezifische Anlage, auf die stuxnet zielt, manipuliert wird. Auf allen anderen Anlagen passiert - trotz heimlichen Festsetzens des Trojaners - nichts. Die Angreifer verfügten also über hochpräzise Informationen zum Aufbau der Anlage und der darin verwendeten Software. Ohne exakte Kenntnisse der Konstruktionsdetails und der Art des Zusammenwirkens der einzelnen S-7-Komponenten wäre ein Angriff dieser Präzision unmöglich.

Symantec berichtet:

    Stuxnet has the ability to take advantage of the programming software to also upload its own code to the PLC in an industrial control system . . . In addition, Stuxnet then hides these code blocks, so when a programmer using an infected machine tries to view all of the code blocks on a PLC, they will not see the code injected by Stuxnet. Thus, Stuxnet isn’t just a rootkit that hides itself on Windows, but is the first publicly known rootkit that is able to hide injected code located on a PLC.
    Stuxnet contains 70 encrypted code blocks that appear to replace some “foundation routines” that take care of simple yet very common tasks, such as comparing file times and others that are custom code and data blocks.

Die Computerworld schreibt:

    [The software]first [...] uploads configuration information about the Siemens system to a command-and-control server. Then the attackers are able to pick a target and actually reprogram the way it works. "They decide how they want the PLCs to work for them, and then they send code to the infected machines that will change how the PLCs work."
    Symantec warns that even if the worm's Windows components are removed, the Siemens software might still contain hidden commands. Symantec advises companies that have been infected to thoroughly audit the code on their PLCs or restore the system from a secure backup, in order to be safe. (...) if the worm were to be used to mess up systems at a chemical or power plant, the results could be devastating.

Die Experten sagen, dass dieser Wurm extrem komplex ist und sehr viel Know-How für seine Entwicklung erfordert hat. 60% aller infizierten Systeme finden sich in Iran, ob das Zufall ist oder nicht, bleibt derzeit offen.

Es wäre wohl nicht das erst mal, dass so Software für Sabotage genutzt wird. Wenn man den Gerüchten glauben schenken darf, so gab es 1982 einen Präzedenzfall, Symantec schreibt:

    By writing code to the PLC, Stuxnet can potentially control or alter how the system operates. A previous historic example includes a reported case of stolen code that impacted a pipeline. Code was secretly “trojanized” to function properly and only some time after installation instruct the host system to increase the pipeline's pressure beyond its capacity. This resulted in a three kiloton explosion, about 1/5 the size of the Hiroshima bomb.

Angeblich handelte es sich um amerikanische Software die in einer russischen Gaspipeline eingesetzt wurde. Die Quelle dieser Story ist das Buch "At the Abyss" von Thomas C.Reed, Secretary of the US Air Force.

Hier eine Analyse des Infektionsprozesses der PLC Steuerungssoftware.

Quelle: http://www.langner.com/

25.9.2010:
Der Hamburger Security-Experte für Produktionssysteme Ralph Langner hat zusammen mit Kollegen den Code dieser Malware detailliert untersucht und dabei erstaunliches festgestellt. Der Code sucht gezielt nach einem Datenblock 890 und fügt dort an genau einer bestimmten Stelle zusätzlichen PLC Code ein, der allerdings vor den Benutzern des WinCC Systems verborgen wird. Dieser zusätzliche Code sorgt dafür, dass eine gewisse Routine, die einen bestimmten Prozess kontrolliert, unter gewissen Umständen übersprungen wird. Falls diese Routine eine Regulierung durchführen würde, so spricht viel für die Annahme, dass das Ziel dieses Angriffs eine sehr gezielte Sabotage darstellt. Dieser Code funktioniert nur mit ganz spezieller Steuerungssoftware und Geräten. Nun zu den möglichen Tätern. Langner schreibt:

    The attack combines an awful lot of skills -- just think about the multiple 0day vulnerabilities, the stolen certificates etc. This was assembled by a highly qualified team of experts, involving some with specific control system expertise. This is not some hacker sitting in the basement of his parents house. To me, it seems that the resources needed to stage this attack point to a nation state.

Die Experten spekulieren, dass die Gerüchte über "technische Probleme" die in der letzten Zeit bei der iranischen Kernbrennstoff-Anreichungsanlage aufgetreten sind, kein Zufall sind. Die Anlage wird durch den russischen Integrator Atomstroiexport betreut, deren eigene Website seit langer Zeit infiziert ist. Außerdem erweckt dieser Screenshot der angeblich aus der Anlage in Bushehr stammt und eine Fehlermeldung zeigt, die besagt, dass die WinCC-Software nicht lizensiert ist, kein großes Vertrauen in die Professionalität der Installation und deren Sicherheitsvorkehrungen.

30.9.2010:
Weitere Berichte und Analysen, auch die Spekulation, dass Busheer nicht das Hauptziel des Angriffes war, sondern die unterirdische Urananreicherungsanlage in Natanz und dass der Schaden bereits 2009 eingetreten ist.

Die FAZ schreibt:

    Der Trojaner war so programmiert, dass er eigentlich im Januar 2009 aufhören sollte, sich weiter zu verbreiten. Offenbar durch Computer, auf denen das Datum nicht korrekt gesetzt ist - ein durchaus häufiges Vorgehen, um das Auslaufen von zeitgebundenen Software-Lizenzen zu umgehen, verbreitete er sich trotzdem immer weiter, bis er schließlich entdeckt wurde. Ausgehend von Anfang 2009 als Aktionsdatum, ergibt sich eine faszinierende Kette von Indizien. Mitte Juli 2009 publizierte Wikileaks eine kryptische Notiz mit dem Hinweis eines Informanten aus Iran auf einen nuklearen Unfall in Natanz, der sich kurz zuvor ereignet haben soll. In Natanz wird ein Großteil des iranischen Urans mit Hilfe von Zentrifugen angereichert. Die BBC meldete zur gleichen Zeit, dass der Leiter der iranischen Atombehörde, Gholam Reza Aghazadeh, zurückgetreten sei.

Die NY Times weist auf eine im Jahr 2009 gesunkene Zahl von aktiven Zentrifugen hin.

Allerdings ist es auch möglich, dass Anlagen im Iran nur im Rahmen eines aus dem Ruder gelaufenen Angriffs auf Indien befallen wurden. Kaspersky hat neuere Zahlen veröffentlicht, wonach Indien das Epizentrum der Stuxnet-Aktivitäten war und ist.Der russische Kraftwerksbauer Atomstroyexport, der mit infizierten Laptops mutmaßlich den Stuxnet-Wurm in Bushehr eingeschleppt haben soll, arbeitet derzeit beispielsweise auch gerade am indischen Atomkraftwerk Kudankulam.

Die FAZ weist auf einen Test in den USA im Jahr 2007 hin:

    Dass die Manipulation solcher Steueranlagen zu katastrophaler Sabotage genutzt werden kann, wurde spätestens im März 2007 klar, als ein Team am Idaho National Laboratory in den Vereinigten Staaten mit Hilfe eines Computerangriffes einen Kraftwerks-Stromgenerator im eigenen Labor gezielt zerstörte. Ein Video dieses Versuchs wurde im September des gleichen Jahres publik und löste eine kleine Welle von Panik angesichts der Verwundbarkeit der Infrastrukturen im Westen aus.

Der Leiter der US Cyber Consequences Unit Scott Borg hat Mitte 2009 einen Angriff durch den Mossad in einem Interview mit der israelischen News-Seite Ynetnews beschrieben. Dort steht auch ein möglicher Hinweis wie der Schadcode in die Anlage gekommen sein könnte:

    Ali Ashtari, an Iranian businessman executed as an Israeli spy last year, was convicted of supplying tainted communications equipment for one of Iran's secret military projects. Iranian media quoted a security official as saying that Ashtari's actions "led to the defeat of the project with irreversible damage."

 

Zusammenfassungen und Analysen

Symantec publiziert eine schöne Zusammenfassung der technischen Details zu Stuxnet, eine detaillierte technische Beschreibung des Infektionsprozesses, der die extreme technische Komplexität aufzeigt und ein 49-seitiges Stuxnet Dossier (pdf).

CERT.AT hat eine Anleitung veröffentlicht: Erkennung von Stuxnet im eigenen Unternehmen (pdf).
F-secure.com bringt ein sehr gutes FAQ: Stuxnet Questions and Answers. (Leckerbissen: "Q: How could governments get something so complex right? - A: Trick question. Nice. Next question."

Die ultimative, sehr ausführliche, gut bebilderte Zusammenfassung gibt es bei arstechnica: How digital detectives deciphered Stuxnet, the most menacing malware in history.

 

Nachtrag Nov. 2010: Shodan, die SCADA-Suchmaschine
Die Presse berichtet über eine spezialisierte Suchmaschine Shodan, mit deren Hilfe verwundbare SCADA und andere ICS (industrial control systems) leicht gefunden werden können. Die US-Regierung hat dazu einen Alert herausgegeben. Langsam wird es wirklich eng für Firmen, die ihre Kontrollsysteme nicht sauber vom Internet getrennt haben.

 

Nov. 2010: Die Auflösung
Symantec berichtet, dass sie mit Hilfe eines Experten für solche Steuerungssysteme das Rätsel gelöst haben: Stuxnet: A Breakthrough. Die Module die verändert werden kontrollieren die Drehzahlen von sehr sehr schnellen Elektromotoren. Die Software spricht an wenn die Frequenz über 807 Umdrehungen pro Sekunde liegt. Motoren über 600 Umdrehungen unterliegen den Export-Restriktionen weil sie eigentlich fast nur für Urananreicherung benötigt werden.

Hier was die Software tut:

    In addition to other parameters, over a period of months, Stuxnet changes the output frequency for short periods of time to 1410Hz and then to 2Hz and then to 1064Hz. (siehe die Seitenh 38 - 42 in der aktualisierten Version des Symantec Reports)

Für mich als Laien auf diesem Gebiet bedeutet dies, dass damit erstens der Motor kräftig belastet wird und zweitens das Material, das mit der Zentrifuge separiert werden soll, ordentlich durcheinander gemischt wird. Hier ein Link zu einem FAZ-Artikel dazu Die Angreifer kennen ihr Ziel offenbar ganz genau.

Noch eine November: Stuxnet hat zwei "digitale Sprengköpfe". Stuxnet greift sowohl Steuerungen der Siemens-Typen S7-300 (315) als auch S7-400 (417) (in Bushehr zur Turbinensteuerung eingesetzt) an. Hier die Details: 417 attack code: Doing the man-in-the-middle ON the PLC.

Und noch mal November: Es wird berichtet dass Stuxnet kommerziell angeboten wird. Eine Veränderung zum Angriff auf andere Infrastrukturen wird aber sehr schwer sein, da es extrem detaillierte Kenntnisse des technischen Aufbaus der Steuerungen voraussetzt.

Dez. 2010: Vergleich mit Natanz-Berichten
Das Institute for Science and International Security (ISIS) hat die Berichte der Internationalen Atomenergie-Behörde IAEA über Natanz mit den Berichten über Stuxnet verglichen: Did Stuxnet Take Out 1,000 Centrifuges at the Natanz Enrichment Plant? Preliminary Assessment. Fazit: Zu der Zeit wo Stuxnet aktiv war gab es in Natanz auch technische Probleme. Der Bericht untersucht die Wahrscheinlichkeit, dass diese beiden Tatsachen ursächlich miteinander verknüpft sind.

Jan. 2011:
Die NY Times berichtet dass es Hinweise gäbe, dass Stuxnet eine US-israelische Gemeinschaftsarbeit sei: Stuxnet Gemeinschaftsprojekt der USA und Israels?. Es wird sogar spekuliert, dass die Software in einem Anreicherungszentrum in der Negev-Wüste getestet wurde. Andere Experten widersprechen jedoch dieser Theorie ("Er hoffe, dass die Entwickler digitaler Waffen mehr auf der Pfanne hätten, als die Tricks, die bulgarische Teenager schon in den 90er Jahren zur Tarnung ihrer Viren eingesetzt hätten.")

April 2012:
Jetzt gibt es neue Berichte über (angebliche) Hintergründe: Innenangreifer half bei Stuxnet-Infektion. Angeblich war es ein Mitarbeiter der den ersten USB-Stick eingesteckt hat. So eine Veröffentlichung führt jetzt natürlich zu einer weiteren Suche nach unsicheren Mitarbeitern, was die Arbeitsmoral und die Effektivität weiter reduzieren wird, d.h. egal ob der Bericht stimmt, er schadet dem Vorankommen bei der Aufbereitung des Urans. Der Artikel verlinkt auf die Orignalquellen.

Juni 2012:
Die Hintergründe der Stuxnet-Saga
Es kommt wieder Leben in die Stuxnet-Saga: In den USA wird ein Buch veröffentlicht (“Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power”) und die NYTimes berichtet vorab (der Buchautor ist NY Journalist).

Nach diesem Buch begann die Sache in den USA bereits 2006 mit einer Entscheidung von G.W.Bush eine Cyberwaffe gegen die Urananreichung in Natanz einzusetzen. Die Entwicklung war dann wirklich so wie bisher vermutet wurde: es wurden Zentrifugen die in Lybien durch den Ausstieg aus der Atomanreichung frei geworden waren als Testobjekte eingesetzt, irgendwann wurde auch der isrealische Geheimdienst involviert, u.a. wegen ihres Know-Hows, aber auch weil durch die enge Involvierung ein israelischer Angriff verhindert werden sollte. 2008 kam die Software zum ersten Mal zu Einsatz, aber nur sehr begrenzt. Einzelne Zentrifugen zeigten dann ungewöhnliches Verhalten, aber die Steuerungen zeigten oft weiterhin korrekte Werte an. Ziel war zu diesem Zeitpunkt, Verwirrung bei den Betreibern zu erzeugen und Zweifel in das korrekte Funktionieren zu säen. Dies ist wohl auch gelungen, zum Teil wurden dann Zentrifugen abgebaut, die gar nicht gestört worden waren. Es kam zu Entlassungen beim Personal und ähnlichen Folgen. Die Angreifer legten großen Wert darauf, dass die Störungen in sehr großen Abständen auftraten und immer wieder unterschiedliche Formen zeigten. Auf diese Weise konnte die Sabotage 2 Jahre vor den Betreibern verborgen bleiben.

2008 kam Obama ins Amt und Bush drängte ihn, das geheime Programm weiterzuführen. Er hat dann nicht nur weitergeführt, sondern auch noch intensiviert. Es folgten immer neue Varianten der Software die immer wieder andere Störungen produzierten, bis dann 2010 ein Missgeschick passierte: Bis dahin war es gelungen, alle Infektionen auf Natanz zu beschränken. Durch einen Programmierfehler kam die Software dann ins Internet und verbreitete sich über die Welt. So wurde sie dann entdeckt und analysiert.

Im Weißen Haus gab es Krisensitzungen, aber es wurde entschieden, mit einer neuen Variante die Sabotage weiterzuführen. Offenbar mit Erfolg, 2 weitere neue und aggressivere Varianten waren in der Lage, 1000 von 5000 Zentrifugen zumindest temporär zu beschädigen.

Ob das Ganze ein Erfolg war wird heftig diskutiert, einige sagen dass der mögliche Kernwaffenbau um 1 - 2 Jahre zurückgeworfen wurde, andere bestreiten dies. Mir ist nicht ganz klar, warum es zu dieser Veröffentlichung kommt: Offenbar waren sehr viele der Geheimnisträger bereit, zwar anonym, aber doch sehr offen über das immer noch streng geheime Programm zu reden. Der Wahlkampf liegt als Grund nahe: so zeigt dieses Buch Obama als energischen Cyberkrieger, andererseits zeigt das Buch auch, dass Geheimnisse nicht gut gehütet werden. Politisch bringt die Tatsache, dass das die US-Regierung den Angriff quasi zugibt einen Präzedenzfall für Cyber-Sabotage aus politischen Gründen - dabei sind die USA ein selbst sehr stark exponiertes Land was Cyberspace betrifft. Der Nicht-Einsatz von Cyberangriffen gegen Libyen wurde damit begründet, dass die USA anderen Ländern keinen Präzedenzfall bieten wollten, jetzt haben wir aber genau diesen Präzedenzfall.

Eine gute graphische Zusammenfassung in der NY Times.

Sept. 2012:
Fragen zur Stuxnet-Saga
Da gibt es jetzt einen Pressemann der einige gute Fragen stellt,z.B. ob die technischen Details der Verbreitung der Infektionen so überhaupt möglich sind. Bzw. ob das nicht eigenartig ist, dass über so eine geheime Aktion jetzt ein Buch geschrieben werden konnte, weil die Geheimnisträger irgendwie nicht schweigen können?? - Stuxnet: Leaks or Lies?.

Hier noch eine sehr gute Zusammenfassung von ESET: Stuxnet Under the Microscope.

Feb. 2013:
Symantec hat jetzt entdeckt, dass erste Versionen von Stuxnet bereits 2007 im Iran aktiv waren und versucht hat, durch Manipulation von Ventilen die Zentrifugen zu zerstören. Diese alten Versionen finden sich zum Teil heute noch in Siemens Steuerungsanlagen, auf denen sie aber keinen Schaden anrichten, da sie nur in der Anreicherungsanlage ihren Angriffscode aktiv einsetzen.

Nov. 2013:
Symantec entdeckt, und Ralph Langer beschreibt in eine detaillierten Analyse, dass es offenbar eine ältere Variante von Stuxnet gibt, die bereits in 2005 in Natanz eingesetzt wurde, aber wohl von Agenten installiert und daher keine Infektions-Funktionalität enthalten hat: "To Kill a Centrifuge". Interessanterweise hat er Hinweise auf diese Variante sogar in Pressefotos gefunden.

Feb. 2016:
Neue Details: Stuxnet angeblich Teil eines größeren Angriffs auf kritische Infrastruktur des Iran.

 

 

 

 

Die Verwundbarkeit der Energieversorgung und Angriffe gegen sie

Wie die Zeitleiste weiter oben zeigt, ist die Energieversorgung eigentlich von Anfang an ein wichtiges Ziel von Cyber Sabotage. Hier behandeln wir jetzt hauptsächlich den Spezialfall der Angriffe auf die Elektrizitätsversorgung.

Nov. 2012:
Mit 5-jähriger Verspätung (weil zu brisant) wird in den USA eine Studie zum Thema Blackout veröffentlicht: Terrorist Attack on Power Grid Could Cause Broad Hardship, Report Says. Die Studie betont, dass auf Grund von Lieferschwierigkeiten ein physischer Angriff auf die großen Trafostationen zu einer sehr langen Phase ohne Strom führen würde. Sie machen konkrete Vorschläge wie mit diesem Problem umgegangen werden könnte (wenn die Finanzierung geklärt wäre - ich persönlich vermute, dass mit einer Umwidmung der Ausgaben für die Nackt-Scanner schon einiges erreicht werden könnte, und Vorkehrungen auf diesem Gebiet helfen auch im Fall von Naturkatastrophen - so können auch durch Wirbelstürme vergleichbare Schäden entstehen ). Der Bericht zum Download findet sich unter Terrorism and the Electric Power Delivery System (156 Seiten, kostenlos nach Registrierung). Der NY Times Artikel referenziert übrigens noch einen etwas älteren Krimi aus den USA, in denen Terroristen das Stromnetz über EMP (Electromagnetic pulse) angreifen.

März 2014:
Die BBC berichtet: Energy firm cyber-defence is 'too weak', insurers say. Hintergrund sind Berichte von Lloyd's of London, dass eine auffallend große Zahl von britischen Energieversorgern um eine Versicherung für die Schäden von IT-Angriffen ansucht. Diese werden jedoch abgelehnt, weil nach einer Untersuchung der Sicherheitsmaßnahmen eine derart große Verwundbarkeit festgestellt wird, dass die Versicherung sich nicht daruf einlässt.

Dez. 2015:
Meldung aus den USA: Hacker haben Teile des US-Stromnetzes infiltriert. Der Artikel verweist auf eine Studie. Anlass für die Aktivitäten war, dass Sicherheitsforscher auf einem Server der "dunklen Seite" nicht nur Daten von Studenten sondern auch jede Menge technische Unterlagen von Kraftwerken gefunden hatten. Es stellte sich heraus, dass dort die Unterlagen und Diagramme von 71 Kraftwerken zu finden waren, die aus den jeweiligen internen Netzen abgezweigt worden waren und wohl zukünftigen Angriffen dienen sollten. Das Dumme daran ist, dass die Kraftwerke zwar nun versuchen können, ihre Netze besser abzusichern, aber letztendlich bleibt die interne Technik weiter wie in den Diagrammen beschrieben.

Auf dem Chaos Computer Congress im Dezember 2015 gibt es ausführlichen Vortrag: Wie man einen Blackout verursacht und warum das gar nicht so einfach ist. Der Vortrag geht recht tief in Fragen der Netzstabilität hinein. Für einen temporären Zusammenbruch braucht ja kein Gerät wirklich zerstört zu werden, es reicht, die komplexe Stabilität ausreichend zu belasten um einen temporären Zusammenbruch der Versorgung zu erreichen.

Symantec berichtet im Oktober 2017 über eine Gruppe, die sie Dragonfly genannt haben und seit 2014 beobachten - andere Namen für diese angeblich russischen Gruppierungen sind Energetic Bear und Berserk Bear. Symantec hatte bereits 2014 beobachtet wie unbekannte Angreifer in Stromversorgungsunternehmen in USA, Italien, Frankreich, Spanien, Deutschland und Polen eingedrungen sind (oder eindringen wollten). Ab 2015 beobachten sie erneute gezieltere Versuche in Europa und Nordamerika. Klare Beweise für das Land das dahinter steckt gibt es nicht. Es gibt Sprachfragmente im Code, die sowohl russisch wie französisch sind, das beweist aber gar nichts. Es ging wohl hauptsächlich um das Stehlen von Detailunterlagen über die technische Implementierung. Solche Daten sind wichtig für erfolgreiche Angriffe.

Die NYT berichtet übrigens in einem Artikel dass diese Form von Angriffen durchaus nicht nur in 1 Richtung gehen: Als es 2015 um den Vertrag mit dem Iran wegen Einstellung ihres Kernwaffenprogrammes ging hatten die USA in Form des Programms “Nitro Zeus” einen umfassenden Angriff auf die kritische Infrastruktur des Irans vorbereitet: U.S. Had Cyberattack Plan if Iran Nuclear Dispute Led to Conflict. Dies war für den Fall, dass es zu keiner Einigung kommen und ein offener Konflikt ausbrechen würde.

März 2018:
Eine Warnung der US-Certs Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors. Der Bericht spricht von Angriffen seit März 2016 bei denen ausländische Hacker in US-Netzen der Energieversorgung und kritischen Infrastruktur unterwegs sind und ihre "Forschungen" betreiben. Der Bericht beschreibt die üblichen Angriffe, in der Regel über Phishing-Mails mit "bösen" Anhängen, Installation von weiterer Software die einen direkten Zugang ins Netz erlaubt und dann interne Exploration. Der Bericht gibt viele technische Details der Angriffe, bis hin zu sog. IOCs (indicator of compromise). Das sind kurze Bitfolgen, mit deren Hilfe die IT-Abteilungen von Firmen mittels geeigneter Software (Intrusion Detection System, IDS) prüfen kann, ob diese "Gäste" auch bei ihnen unterwegs sind.

Der NYT-Artikel Cyberattacks Put Russian Fingers on the Switch at Power Plants, U.S. Says schildert die Situation noch ein wenig dramatischer. So würden Screenshots zeigen, dass die Angreifer in der Lage waren, gezielt in die Steuerungen der Kraftwerke einzugreifen und damit einen Blackout auszulösen.

Juli 2018:
DragonFly ist weiter aktiv: Russische Hacker hatten Zugang zu US-Stromversorgern. Die Hacker waren angeblich in den Netzen von "hunderten" von Energieversorgern drin. Die üblichen Techniken bleiben erfolgreich: gezielte Phishingmails an die Mitarbeiter, einer klickt immer und dann wird Software installiert die die Angreifer "ins Netz lässt". Wieder wird Russland beschuldigt, aber auch Iran, China und Nordkorea erwähnt. Die Gruppen "Dragonfly" und "Energetic Bear" werden erwähnt.

 

Marc Elsberg - Blackout - und seine Hintergründe

Blackout von Marc Elsberg
Das Buch wurde von Bild der Wissenschaft zum Wissensbuch des Jahres 2012 in der Kategorie Unterhaltung gewählt.

2012 ist ein Krimi erschienen, bei dem ich mitgeholfen habe und der viele der Themen behandelt, die auch auf dieser Website behandelt werden: SCADA-Verwundbarkeiten, Probleme mit Smart Metern, die verschiedenen Typologien der Angreifer und auch die Differenzierung von Cyberwar von Angriffen im Internet.

Natürlich ist das ganze als Krimi ein gutes Stück spannender als die Texte hier auf der Website mit Links auf ellenlange Studien (und mit 800 Seiten ist das Buch aber auch recht detailliert - aber m.E. trotzdem auch für Laien geeignet.

"Blackout" ist ein empfehlenswertes Buch - Offenlegung: Ich habe bei dem Buch bei den technischen Angriffen mitgearbeitet (der Name Blackout ist etwas unglücklich, es gibt noch andere Bücher mit dem Namen "Blackout"). Auch die Website zum Buch ist empfehlenswert, sie hat viele weiterführende Links zu Materialien und Artikeln zu diesem Thema. In Wien war eine Podiumsdiskussion zum Buch mit Vertretern aus dem Innenministerium und der Stromwirtschaft, launig besprochen in Die Presse.

Der Standard berichtet unabhängig vom Buch von einer österreichischen Studie Blackouts in Österreich (Langfassung: Blackouts in Österreich Teil I – Analyse der Schadenskosten, Betroffenenstruktur und Wahrscheinlichkeiten großflächiger Stromausfälle als PDF). Die Studie beschränkt sich auf Ausfälle bis 48 Stunden (im Buch dauert der Ausfall deutlich länger). Zitate:

    Einen einstündigen Ausfall an einem Werktag beziffert die Studie mit 150 Millionen Euro, also knapp ein Zehntel eines 48-stündigen Ausfalls. . . . "Im Fall eines koordinierten Angriffs auf das Stromnetz oder wenn einige für sich genommen unkritische Ereignisse zusammenkommen, besteht keine Chance, einen großflächigen Stromausfall in Österreich zu vermeiden", sagt Wolfgang Gawlik von der TU Wien, der an der Studie mitarbeitete. . . . Das Netz ist redundant genug, dass der Ausfall von ein oder zwei großen Leitungen, etwa durch Unwetter, kein Problem ist. Wenn sich aber mehrere solcher Ereignisse verketten, kann es zu Überlastung und zum Ausfall kommen.

Es gibt übrigens auch Videos, die das Thema Manipulation von Smart Metern (die im Buch eine Rolle spielen) zu Thema machen, sehr interessant gemacht: Urban hack attack und Delta Lloyd "Hackman".

Auf der Facebook-Seite des Autors postet ein Leser "Es ist schon wirklich überraschend wie nah das Buch der Realität immer wieder kommt. . . " und verlinkt dabei auf Backdoor in mission-critical hardware threatens power, traffic-control systems. Sommer 2017 skizziert ein Forscher einen europaweiten Blackout auf Grund von angreifbaren Solaranlagen.

Dez. 2012:
Ein interessantes Interview zwischen dem Autor von Blackout und dem Chef der bundesdeutschen Netzagentur, verantwortlich für die Sicherheit und Zuverlässigkeit der Stromnetze: "Das wäre ein Riesenproblem". Zitat aus dem Interview:

    Homann [der Chef der Netzagentur]: Die Auswirkungen hat Herr Elsberg gut recherchiert. Ich habe das Buch zum Anlass genommen, um meinen Mitarbeitern Fragen zur Sicherheit unserer Stromnetze zu stellen. Dass Kraftwerke mit einer Software gesteuert werden, die angreifbar ist, hielt ich zunächst für reine Fiktion – da wurde ich eines Besseren belehrt.

 

 

 

BlackEnergy 2015 und Crashoverride/Industroyer 2016 in der Ukraine

Auch wenn solche Angriffe nicht einfach sind (wie der Vortrag im vorigen Abschnitt zeigen will), so ist es doch möglich.
Beispiel im Dezember 2015: Die Angriffssoftware die BlackEnergy genannt wird legt große Teile der Stromversorgung der Ukraine lahm.

Der Angriff war sehr komplex und nicht nur die Nähe zu Russland und der aktuelle Konflikt deutet auf Russland als Urheber des Angriffs. Hier technische Details der Angriffssoftware. Weniger technisch ist dieser Überblicksartikel, der über die grundsätzliche Bedrohung der Energieversorgung (am Beispiel der USA) schreibt und BlackEnergy als ein Beispiel benutzt.

Dezember 2016: Ein weiterer Angriff gegen mehrere Kraftwerke in der Ukraine unter dem Namen Crashoverride oder Industroyer. Ein Fünftel von Kiev war ohne Strom, der Angriff wird aber als "großflächiger Test" betrachtet. Hier mehr Details dazu.

Es gibt den Verdacht, dass solche Angriffe Vorübungen dafür sind, was passieren würde, wenn es zu einem großen Krieg, z.B. Russland gegen die NATO, kommen würde. Beide Seiten würden dann vermutlich versuchen, die Stromversorgung des Gegners lahm zu legen.

 

 

 

2017 / 2018: Trisis, der Angriff gegen die Raffinerien in Saudi-Arabien

2018 wird über eine neue Angriffsserie berichtet die bereits 2017 begonnen hat aber jetzt erst öffentlich wird. Es handelt sich um Angriffe gegen verschiedene Raffinerien in Saudi-Arabien geht: A Cyberattack in Saudi Arabia Had a Deadly Goal. Experts Fear Another Try.

Es begann bereits im Januar 2017 mit Angriffen be einem saudischen Unternehmen Tasnee, bei dem Computerfestplatten gelöscht wurden ("wiped") wurden. Die Wiederherstellung hat angeblich Monate gedauert, vermutlich wurden das BIOS ebenfalls zerstört, dann müssen die Rechner ersetzt werden. Dies klingt sehr ähnlich zu dem früheren Angriff gegen Aramco 2012.

Bei den eigentlichen Angriffen im August 2017 wurden wohl in mehreren saudischen Raffinerien SCADA Systeme der Firma Schneider Electric angegriffen (neben Siemens einem der großen Anbieter von SCADA Systemen). Es ging um deren Triconex safety controller. Solche Steuerungen sollen verhindern, dass Unfälle passieren indem sie bei Überschreiten von Grenzwerten eine Abschaltung durchführen. Von diesen Triconex Modellen sind ca. 18 000 weltweit installiert. Sie steuern alle Typen Industrieananlagen bis hin zu Kernkraftwerken. Triconex werden extrem gut geschützt, denn sie sind kritsch für einen sicheren Betrieb der Anlagen.

Irgendwie haben es die Angreifer geschafft, in diese Triconex-Anlagen einzudringen und dort Änderungen vorzunehmen. Durch eine Manipulation von Grenzwerten sollte dann vermutlich eine Katastrophe ausgelöst werden. Zum Glück gingen die Angriffe schief: es kam zu einer großen Welle von Spontan-Abschaltungen in den Raffinerien, die dann untersucht wurden und dabei wurde eine Schadsoftware entdeckt, die diese Geräte manipuliert. Wie die Schadsoftware dahin kam, scheint noch offen.

Die Angreifer hatten kein Profit-Motiv und der Angriff ist sehr komplex und dadurch teuer: dies spricht für einen Angriff durch eine "staatsnahe" Organisation. Technisch dazu in der Lage wären Iran, China, Russia, USA und Israel. Außerdem Iran haben alle diese Länder wirtschaftliche Interessen in Saudi Arabien, dies lässt den Iran übrig als Verdächtigen.

Hier noch ein Hintergrundartikel Trisis has the security world spooked, stumped and searching for answers der noch mehr Details liefert. Der Artikel beschreibt viele technische Details, im Prinzip auch, welche Fehler die Angreifer gemacht haben. D.h. die Angreifer haben offenbar einen Trick, wie sie in diese Geräte hineinkommen und könnten die Angriffe mit einer verbesserten Version wiederholen.

 

 

 

2019 Die Angriffe nehmen eher zu als ab

Das deutsche BSI warnt vor gezielten Ransomware-Angriffen auf Unternehmen. Und es mehreren sich Hinweise, dass die großen Schäden die durch Ransomware in der Industrie derzeit regelmäßig auftreten, evt. gar keine Erpressungen sind, sondern versteckte Sabotage.

 

 

 

SCADA und ICS Verwundbarkeiten

Dies ist einer meiner Artikel zum Thema, dass heute jedes Gerät mit jedem anderen vernetzt sein soll.

SCADA und ICS werden in diesem Artikel behandelt, da geht es um die Computer-Steuerung von Industrieanlagen.

Auf der Seite der privaten Nutzer läuft das unter Smart Home, Home Automation, Smart City und "Smart Everything", zusammengefasst oft mit Internet of Things (IoT).

Und ein Spezialfall davon sind Smart Meter und Smart Grid und vernetzte Autos.

Unter SCADA (supervisory control and data acquisition) versteht man Systeme, die technische Prozesse überwachen und steuern. Solche Systeme werden heute bei sehr vielen technischen Prozessen eingesetzt, u.a. auch bei der Wasser- und Energieversorgung, aber auch bei fast allen industriellen Produktionen. SCADA ist eine Untermenge der größeren Gruppe der ICS (Industrial Control Systems).

Die dabei eingesetzten technischen Mess- und Steuerelemente heißen PLC (Programmable logic controller), auf deutsch speicherprogrammierbare Steuerungen (SPS). Die Computer die für die Steuerung eingesetzt werden und die PCSs waren früher in separaten Netzen und hatten keine Verbindung mit dem „Office-Netz“ und vor allem nicht mit dem Internet. Heute ist dies oft nicht mehr der Fall, weil auch diese Systeme Daten von außen beziehen oder nach außen liefern.

Aber selbst wenn diese Systeme keine direkten Verbindungen nach außen haben, so stellen sie doch einen Angriffspunkt dar, wie der Fall Stuxnet gezeigt hat, bei dem die Wiederaufbereitungsanlage angegriffen wurde obwohl sie über das Internet nicht direkt erreichbar war (für die Details siehe den Link). Nach Stuxnet ist dieses Thema auf einmal in die Öffentlichkeit gerückt, aber seit vielen Jahren warnen Sicherheitsexperten vor den vielen Schwachstellen und der zum Teil mangelhaften Absicherung vieler SCADA-Systeme.

Dass es auch 2015 nicht viel besser geworden ist zeigt dieser Artikel:
Nov. 2015: Gas- und Öl-Industrie: Leichte Ziele für Hacker

Und auch 2016 nicht besser: leichtfertiger Umgang mit kritischen Infrastrukturen. Ein sehr ausführlicher und detaillierter Artikel von golem.de und Internetwache.org, die innerhalb von wenigen Wochen Zugriff auf die Steuerungssysteme von über 100 Systemen weltweit bekamen. Darunter Wasserwerke, Blockheizkraftwerke, Interfaces zur Gebäudeautomatisierung und sonstige Industrial Control Systems (ICS). Auf die meisten ließ sich ohne besondere Authentifizierung lesend zugreifen. Einige Systeme ermöglichten sogar den Zugang zu Steuerungen, darunter waren auch deutsche Wasserwerke. Sie berichten auch, wie schwierig es ist, die Probleme durch die Hersteller beheben zu lassen.

Weil das so einfach ist, muss man davon ausgehen, dass sowohl Kriminelle wie Cyberkrieger sich diese Zugänge längst besorgt haben.

2018: Angreifer verwenden die Steuerungssysteme eines Wasserwerks für Kryptomining. Die gute Nachricht ist, dass es zu keinen Schäden kam, weil die Software genügend Rechenkapazität für die Steuerung gelassen hat. Aber ein gutes Zeichen ist das nicht, die Angreifer hätten vermutlich auch erheblich schaden können.

Auf dem Chaos Computer Club Kongress wurde 2007 bereits präsentiert: SCADA (in)Security: Hacking Critical Infrastructures. Der Vortrag bringt viele Darstellungen der Kontrollnetze und berichtet über reale Beispiele von IT-Problemen in der SCADA-Welt und wie weit diese Welt hinter dem State-of-the-Art der IT-Sicherheit hinterher ist.

Internet Security Systems X-Force (heute Teil von IBM) präsentierte ihre Erkenntnisse zum Thema SCADA-Security (PDF, ich glaube aus 2006) folgendermaßen: "You can go to the store and buy a book on pen-testing that will give you all the knowledge you need to cause a widespread power blackout". Sie berichten, dass es ihnen bereits während der Verkaufspräsentation einmal gelungen ist, über ein offenes WLAN in das Kontrollnetz einzudringen und dass sie selten bei ihren Penetration-Tests nicht erfolgreich waren.

März 2011:
Security Researcher (und vermutlich nicht nur die) haben mittlerweile Schwachstellen in ziemlich vielen SCADA Programmen gefunden (Industrieleittechnik: Sicherheitslücken in Hülle und Fülle). D.h. ähnliche Angriffe lassen sich gegen viele technische Objekte durchführen. Allerdings gehört dazu deutlich mehr als nur die Schwachstellen in der SCADA Software. Der Angreifer muss auch sehr genau wissen, welche Geräte dort gesteuert werden und wie sie angesprochen werden können. So besagen ja die Gerüchte, dass für den Angriff auf Natanz eine Anlage mit den gleichen Zentrifugen aufgebaut wurde damit die Angriffssoftware getestet werden kann.

So ungefähr kann sich das dann darstellen
Quelle: SCADA (in)Security: Hacking Critical Infrastructures

Mai 2011:
US-Regierung warnt vor Siemens-Sicherheitsleck. Die Erklärung von Siemens, dass nur wenn die IT-Sicherheitsschranken überwunden seien, die Software so attackiert werden könne, dass sie in einen Sicherheitsmodus fahre und sich abschalte ist ein wenig schwach. Das ist nun mal die Eigenschaft von IT-Security Bedrohungen, dass diese normalerweise nur schlagend werden, wenn mehrere Dinge zusammentreffen. Aber dass das immer wieder gelingt zeigen die dramatischen Beispiele in 2011, z.B. beim Sony Playstation Network.

Juni 2011:
Siemens gibt bekannt, dass sie Lücken in Automatisierungssystemen geschlossen haben. In einem Siemens Security Advisory (pdf) wird dargelegt, dass über einen sog. Replay-Angriff Daten eine eine Programm-Steuerung (PLC) gesendet werden können, obwohl die eigentlich durch ein Passwort geschützt ist. So (oder so ähnlich) könnte Stuxnet gearbeitet haben.

Februar 2012:
Es geht immer weiter mit den Schwachstellen-Veröffentlichungen im SCADA-Bereich: Hoping to Teach a Lesson, Researchers Release Exploits for Critical Infrastructure Software. Hier ein Zitat das die Verwundbarkeit der Stromnetze anzeigt:

    The GE PLC is nearly two decades old but is still used in electric substations for power generation and in other key critical infrastructure systems. GE has said that it plans to release a new, more secure, version of the product this year, but it’s unclear whether that version fixes any of the vulnerabilities uncovered by the researchers. The company has said in a product bulletin published in 2010 that it has “no plans to develop additional cyber security features in previous generation D20 products due to limitations in the hardware and software platforms,” which leaves current customers using those systems potentially open to attack.

Mai 2012:
der Christian Science Monitor berichtet: Alert: Major cyber attack aimed at natural gas pipeline companies.

Juni 2012:
Der arstechnica-Artikel "forever day bugs" verweisen auf die steigende Zahl von Veröffentlichungen von Verwundbarkeiten in SCADA-Systemen die nie geschlossen werden sollen (daher der Name des Artikels). Der Grund ist, dass es sich zum Teil um veraltete Geräte und Systeme handelt die nicht mehr verkauft und weiterentwickelt werden:

    "Because these are legacy products nearing the end of their life cycle, ABB does not intend to patch these vulnerable components," the advisory stated. The notice went on to say that the development of a working exploit would require only a medium skill level on the part of the attacker."Because these are legacy products nearing the end of their life cycle, ABB does not intend to patch these vulnerable components," the advisory stated. The notice went on to say that the development of a working exploit would require only a medium skill level on the part of the attacker.
    . . . Engineers use ABB WebWare Server to control giant robotic arms used in factories that make cars and other goods. A buffer overflow flaw affecting several COM and ActiveX components gives attackers the means to shut down or take control of PCs that run the software by sending them specially manipulated data.
    . . . Another buggy PLC that won't be fixed anytime soon is the Siemens's SIMATIC controller used in plants in the water, wastewater, oil, gas, and chemical industries. According to an advisory issued in September, "Siemens currently has no plans to patch this vulnerability," which stemmed from an overflow that could allow attackers to execute arbitrary code on the targeted human-machine interface system.
    . . . Beresford went on to condemn the practice of allowing known vulnerabilities to remain in software that's often used to manage plants and factories that some say could be targeted in terrorist or cyberwar attacks.

September 2012
Das liegt genau zwischen dem SCADA-Thema und meinem Artikel über Smart Grid und Smart Meter: Hacker-Angriff auf Smart-Grid-Entwickler. Spekuliert wird im Artikel (und den darin verlinkten Artikeln) dass der Angriff aus China kommen könnte und dass dies eine gute Methode wäre, um Schadsoftware in die SCADA-Controller einzufügen. Außerdem lernen die Angreifer natürlich sehr viel wenn sie den Quellcode in Ruhe studieren können.

Dezember 2012
New report warns of SCADA CYBERGEDDON. Wie The Register schreibt, die Grundlagen der Statistiken sind nicht ganz klar, aber die Zahlen klingen erschreckend: '40 percent of SCADA systems “available from the Internet” can be easily hacked, half of the vulnerabilities the company found allow the execution of arbitrary code on the target system, one-third of vulnerabilities arise from poor configuration such as using default passwords, and one-quarter are related to users not installing security updates.' Die Angriffe sind die üblichen: Ausnutzen von hardcodierten Passworten, SQl-Injection, remote command execution, session handling.

Ebenfalls im Dezember 2012 wird bekannt, dass die NSA (National Security Agency der USA) seit 2010 Testangriffe auf US-Unternehmen durchführt, die SCADA- und PLC-Systeme einsetzen: NSA targeting domestic computer systems in secret test. Ich gehe davon aus, dass es sich dabei um etwas handelt, was man Pentest nennt und das jede Firma gegen ihre eigenen Systeme durchführen soll - wenn die Firmen es nicht tun, so ist es gut, wenn es die staatlichen Behörden tun, die dann auf die Firmen Druck machen können, die Schwachstellen zu schließen.

 

Jan. 2013:
Das US-CERT berichtet in seinem aktuellen ICS-CERT Monitor von gleich zwei Viren-Infektionen bei US-amerikanischen Stromversorgern im letzten Quartal 2012. In diesen Fällen wurden industrielle Steuerungsanlagen, die sauber in getrennten Netzen waren, in dem einen Fall über USB-Sticks, im anderen Fall über den Laptop eines Mitarbeiters infiziert. Die Infektionen verursachten unter anderem den mehrwöchigen Ausfall eines Elektrizitätswerks, d.h. wir haben es bereits mit ernsthaften finanziellen Schäden zu tun.

Die Firma Positive Technologies legt eine Studie vor: SCADA Safety in Numbers. Dort werden auf 30 Seiten konkrete Zahlen über die Zahl der (im Internet) gefundenen Schwachstellen in ICS (Industrial Control Systems) aufgezeigt und wie schnell (bzw. langsam) die Verwundbarkeiten behoben werden können.

An anderer Stelle berichtet ich über Veröffentlichungen in 2013 über die ebenso heftigen Aktivitäten entsprechender US-Abteilungen gegen andere Staaten.

Im Bericht der NYTimes zu diesem Report stehen auch einige interessante Details zum Thema SCADA. Dort wird referenziert auf Shady RAT, auf die Angriffe auf RSA und Coca Cola, aber auch auf Angriffe auf Firmen, die sich auf Steuerungssysteme spezialisiert haben, z.B. Digital Bond. Bei Digital Bond wurde ein Spearfishing Email erkannt und der Mitarbeiter hat die Datei mit dem remote-access tool nicht geöffnet. Erfolgreicher war der Angriff auf Telvent, eine kanadische Firma, jetzt Teil von Schneider Electric. Zitat:

    Telvent keeps detailed blueprints on more than half of all the oil and gas pipelines in North and South America, and has access to their systems. In September, Telvent Canada told customers that attackers had broken into its systems and taken project files. . . . Mr. Peterson of Digital Bond: "This is terrifying because — forget about the country — if someone hired me and told me they wanted to have the offensive capability to take out as many critical systems as possible, I would be going after the vendors and do things like what happened to Telvent."

D.h. die Angreifer sind dabei, sich die detaillierten Pläne der Strom-, Gas- und Wasserversorgung, Pipelines und ihrer Steuerung zu besorgen, danach lassen sich Angriffe planen.

März 2013:
Trend Micro hat im Internet einen SCADA Honeypot aufgestellt: Sie simulierten ein im Internet sichtbares Wasserdruckkontrollsystem einer (fiktiven) Pumpstation, angesiedelt in einer amerikanischen Kleinstadt. Hier der Bericht über die registrierten Angriffe.

Ergebnis: In 1 Monat verzeichneten sie 39 Angriffe aus 14 Ländern (ohne automatisierte Portscans, etc., Angriffe auf die SCADA-Komponenten oder -Software). 35% kamen aus China, 19% stammten aus den USA, 12% aus Laos, 8% aus UK und 6% aus Russland. 12 dieser Angriffe konnten die Forscher als "gezielt" einstufen.

Mai 2013:
Heise.de hat Industrieanlagen in Deutschland untersucht und dabei kritische Schwachstelle in hunderten Industrieanlagen gefunden. Sie fanden unter anderem Fernwärmekraftwerke, wichtige Rechenzentren, eine Justizvollzugsanstalt und ein Stadion, dessen Industriesteuerungen sorglos mit dem Internet verbunden waren.

Ein anderer Sicherheitsexperte hat nach sog. offenen Serial-Port-Servern im Internet gesucht. Diese werden z.B. für die Wartung der Steuerungen für Ampelanlagen, zur Verwaltung von Wäschetrocknern oder Bezahlterminals oder bei VPN-Servern in Firmen eingesetzt. Davon offenbarten 114.000 Geräte bekannte Sicherheitslücken. Auf vielen kann man sich mit vom Hersteller voreingestellten Standard-Kennwörtern Zugang verschaffen. 13.000 Geräte ermöglichten sogar einen direkten Zugriff über einen Software-Befehl – ohne Kennwort.

Ende 2014: Auf dem CCC Kongress wird berichtet, dass sich die Lage bei der Sicherheit von Industrienanlagen eher verschlechtert hat: 31C3: Wie man ein Chemiewerk hackt. Der Artikel verlinkt auch auf den Bericht über den erfolgreichen Angriff auf ein deutsches Stahlwerk.

Nov. 2015: Gefährdete Infrastruktur ist überall, nicht nur bei Staudämmen und Hochöfen. Hier über Angriffe gegen Benzintanks (wenn ich das richtig verstehe, z.B. bei Tankstellen). Zum Glück waren das bisher Honeypots (d.h. bewusst verwundbare Systeme, die als Falle im Internet aufgestellt werden), in denen diese Angriffe registriert wurden. Der Artikel verlinkt auf weitere Details.

Aug. 2016: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet die Bedrohungslage für Industrial Control Systems. Die schwerwiegendsten Gefahren sowie passende Gegenmaßnahmen fasst das BSI seit 2012 im Dokument "Industrial Control System Security - Top 10 Bedrohungen für ICS und Gegenmaßnahmen" zusammen. Für das Jahr 2016 hat das Bundesamt nun ein Update des Papiers herausgegeben.

 



Philipp Schaumann, https://sicherheitskultur.at/


zeigende Hand als Hinweis auf Verlinkung zur HauptseiteHome

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License Icon
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.