© Michael Jaszewski/Shutterstock.com
Ist die Industrie wirklich schon bereit für einen Anschluss ans Internet?

Fernsteuern = fern(zer)stören?!


Auf der Hannover Messe Industrie drehte sich dieses Jahr alles um die sogenannte Industrie 4.0, aber das Thema köchelt ja schon länger. Anscheinend kann es den Managern gar nicht schnell genug damit gehen, ihre Produktionsanlagen zu vernetzen und zumindest indirekt mit dem Internet zu verbinden. Dabei hat schon Stuxnet [1] gezeigt, welche Folgen Angriffe auf Industriesteuerungen haben können. Und seitdem ist es nicht besser geworden.

Und das Schlimmste dabei: Allem Anschein nach müssen sich die Angreifer gar nicht auf die Industriesteuerungen stürzen. Schon ganz normale Windows-Angriffe reichen aus, um Fabriken lahmzulegen. So wurde z. B. im November 2018 der Maschinenbaukonzern KraussMaffei Opfer eines Ransomware-Angriffs [2]. Und diese Schädlinge verschlüsseln bekanntlich alles, was ihnen unter die virtuellen Finger kommt, in diesem Fall u. a. auch wichtige Dateien einiger Steuerungsrechner in Produktion und Montage des Standorts München, der dadurch lahmgelegt war. Ich vermute mal, dass die Angreifer das gar nicht beabsichtigt hatten und von diesem durchschlagenden Erfolg selbst völlig überrascht wurden.

Nochmal Ransomware?

Im März 2019 gab es eine „extensive cyber-attack“ auf den norwegische Aluminiumkonzern Norsk Hydro [3]. Betroffen waren die meisten Geschäftsbereiche, und mit Ausnahme des Energiebereichs gab es überall mehr oder weniger große Einschränkungen, da alle Netzwerke etc. voneinander getrennt und die Produktion teilweise eingestellt bzw. auf Handbetrieb umgestellt werden musste [4]. Was genau passiert ist, wurde noch nicht verraten. Doch ein paar Infoschnipsel finden sich in den Pressemitteilungen:

In [5] beispielsweise ist zu lesen: „Hydro’s experts are working on reverting virus infected systems back to a pre-infected state.“, in [6] liest man: „The malicious virus attack caused many of Hydro’s IT-systems to be shut down, not because they were infected but to contain the virus and prevent it from spreading further.“

Anscheinend hat man sich da einen Virus oder anderen Schädling eingefangen und hat nun Angst, dass der unter den Partnern weiterverbreitet wird, wie man [7] entnehmen kann: „Following the cyber-attack, some may try to take advantage of the current situation and contact Hydro’s partners, pretending to be Hydro. This may be an attempt to spread the virus further ...“ Außerdem waren laut [8] u. a. SAP-Systeme betroffen: „In Germany, where usage of the SAP system was limited, ...“

Also für mich klingt das alles ja so, als hätten die sich auch nur irgendeine 08/15-Ransomware eingefangen, die sich dann im Unternehmensnetz ausgetobt hat, sofern sie nicht lokal gestoppt wurde. Die Produktion im stark betroffenen Geschäftsbereich „Extruded Solutions“ war dann entweder in besonders großem Umfang auf Informationen von den angegriffenen Systemen angewiesen (es wurden ja sicherheitshalber erst mal alle Rechner aus dem Verkehr gezogen und auf Schadsoftware geprüft) oder wurde durch ebenfalls infizierte Windows-Rechner gesteuert.

Wenn schon normale Windows-Schädlinge die Produktion stören können, was passiert dann erst, wenn die Angreifer sich tatsächlich die Industriesteuerungen vornehmen? Das lässt sich an einem Real-World-Beispiel gut beobachten.

Angriffsziel: Schutzfunktionen der Industrieanlagen

Im Dezember 2017 berichtete FireEye, dass man in einer „critical infrastructure organization“ ein TRITON (anderswo auch TRISIS oder HatMan) genanntes Schadsoftwareframework entdeckt habe [9]. Dieses dient dazu, Safety Instrumented Systems (SIS) aus der Triconex-Baureihe des Herstellers Schneider Electric zu kompromittieren. Die SIS sollen im Fall einer drohenden Störung im Produktionsprozess, z. B. einer unzulässigen Erhöhung des Drucks, die Produktion herunterfahren, bevor es zu einem tatsächlichen Schaden kommt. Die Geräte von Schneider Electric sind weit verbreitet und werden in allen möglichen Industriezweigen eingesetzt.

Die Angreifer verschafften sich aus der Ferne Zugriff auf die (übrigens unter Windows laufende) SIS-Engineering-Workstation, über die die SIS-Controller konfiguriert werden. Von dort aus versuchten sie, eine Hintertür in die Controller einzuschleusen. Darüber hätten sie beliebige Speicherbereiche lesen und schreiben sowie beliebige Befehle ausführen können. Dabei ist den Angreifern ein Fehler unterlaufen, und einige Controller gingen in den Fail-Safe-Status. Die Controller hatten einen sicheren Shutdown eingeleitet, nachdem der Programmcode redundanter Einheiten eine Prüfung nicht bestanden hatte. Daraufhin wurde die Anlage kontrolliert heruntergefahren und der Betreiber misstrauisch, sodass der Angriff bemerkt wurde.

FireEye geht davon aus, dass physikalisch Schaden angerichtet werden sollte, da die Angreifer sich auch Zugriff auf das Distributed Control System (DCS) verschafft hatten. Damit wird die Industrieanlage gesteuert, und wer DCS und SIS kontrolliert, kann z. B. einen kritischen Zustand provozieren und gleichzeitig das kontrollierte Herunterfahren der Anlage verhindern. Danach gibt es nur noch eine letzte Verteidigungslinie in Form von Sollbruchstellen, Überdruckventilen, physikalischen Alarmgebern und Notfallprozeduren, um die Folgen der Störung zu minimieren.

Spätere Untersuchungen deckten auf, wie die Angreifer Zugriff auf die SIS-Engineering-Workstation bekommen haben [10]: Sie kompromittierten erst das normale Unternehmensnetz und drangen dann über ein Gateway in das Netzwerk des Produktionsbereichs (Operational Technology, OT) vor. Dafür nutzten sie sowohl Standard-Angriffstools als auch selbst entwickelte Software. Zwischen dem ersten Eindringen in das Unternehmensnetz und dem Zugriff auf die SIS-Engineering-Workstation verging ein Jahr.

Während dieser Zeit konzentrierten sich die Angreifer darauf, Zugriff auf die OT und danach die Workstation zu erlangen und führten keine sonstigen Angriffe wie z. B. das Ausspähen größerer Datenmengen durch. Nach der Kompromittierung der SIS-Engineering-Workstation richtete sich ihre ganze Konzentration darauf, die Ko...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang