Neuer Angriff gegen kritische Infrastrukturen

Aktuell versuchen Hacker Betreiber kritischer Infrastrukturen anzugreifen. Ziel der Angriffe war es, über die Sicherheitssysteme Schäden an der physischen Infrastruktur anzurichten. Das berichtet der Sicherheitsdienstleister FireEye in einem Blog. Demnach sei es unbekannten Angreifern gelungen, Schadsoftware einzuschleusen. Der Angriff wurde nur durch einen Fehler der Hacker entdeckt. Die Täter hatten versehentlich Systems abgeschaltet.

Stromleitungen (Bild: Peter Marwan)

Die Angreifer setzten an einem Triconex Safety Instrumented System (SIS) von Schneider Electric an. Die Angreifer hatten sich remote Zugang zu einer SIS-Workstation verschafft mit dem Ziel, den SIS-Controller neu zu programmieren. Dabei lösten sie die Ausfallsicherung aus, die wiederum automatisch die zu sichernden Industrieanlagen abschalteten. Daraufhin wurde eine Untersuchung eingeleitet.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Eine Gültigkeitsprüfung eines Anwendungscodes scheiterte und so wurde eine Fehlermeldung ausgeführt. FireEye leitet daraus ab, dass die Angreifer eigentlich versucht hatten, das Safety Instrumented System so zu verändern, dass es nicht mehr funktioniert, damit eine technische Störung zu einer Beschädigung der Anlage führt.

Für ihren Angriff nutzten die noch nicht identifizierten Täter das Triton Attack Framework. Es besteht aus einer ausführbaren Datei und einer an das Ziel – in diesem der Triconex-Controller – angepassten Dateibibliothek. Die Malware wurde unter anderem eingesetzt, um den Anwendungsspeicher des SIS-Controllers zu manipulieren.

Ausgewähltes Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Auch wenn FireEye keine Hinweise auf die Herkunft der Angreifer gefunden hat, geht es davon aus, dass die Täter mit staatlicher Unterstützung handelten. Das sollen die für den Angriff benötigten technischen Ressourcen und das Fehlen eines finanziellen Motivs nahelegen. Zudem sei die Absicht, einen physischen Schaden zu verursachen, untypisch für Cyberkriminelle.

Dabei soll die Malware Triton zum Einsatz gekommen sein, die sofort Einsatzbereit war. Daraus leiteten die Sicherheitsforscher ab, dass die Malware zuvor mit einem Triconex-System getestet wurde. Das setzt allerdings voraus, dass die Angreifer Zugriff auf die Systeme und die entsprechende Software hatten. Darüber hinaus implementiere Triton das proprietäre Kommunikationsprotokoll TriStation, das nicht öffentlich dokumentiert ist.

Für den Angriff auf Triconex-Sicherheitssysteme sieht FireEye nun mehrere Optionen: Durch die Neuprogrammierung des SIS-Controllers könnte ein False Positive ausgelöst werden, was die zu sichernde Anlage abschaltet und dem Betreiber einen finanziellen Schaden zufügt. Es könnte aber auch so manipuliert werden, dass eine Störung nicht erkannt wird, was wiederum zu einer Beschädigung der Anlage, Umweltschäden oder einer fehlerhaften Produktion führen könnte.

Name und Branche des Opfers verschweigt FireEye aus Sicherheitsgründen.  Schneider Electric bestätigte den Vorfall zudem gegenüber der Agentur Reuters. Aber auch in diesem Fall blieb die Identität der angegriffenen Organisation ungenannt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

View Comments

  • Wie darf man diesen Satz verstehen:
    "Unternehmen und Branche des Opfers verschweigt FireEye zum Schutz des Kunden nicht. "
    ??

    • Hallo Herr Raudszus,

      vielen Dank für den Hinweis, da hat sich eine Verneinung hineingeschlichen. Ist korrigiert.

      Liebe Grüße und eine schöne Adventszeit.

      Martin Schindler

Recent Posts

Traditionelle Sicherheit versus Zero Trust-Architektur

Zero Trust richtig eingesetzt, kann es Organisationen bei der Umsetzung ihrer Transformation unterstützen, sagt Nathan…

10 Stunden ago

Router-Update legt Microsofts Online-Dienste lahm

Eigentlich sollte nur eine IP-Adresse geändert werden. Ein dazu benutzter Befehl legt über einen Router…

20 Stunden ago

Valide Ergebnisse in zehn Sekunden statt zwei Monaten

Feuerwehr Düsseldorf greift für die strategische Standortplanung auf ein geodatenbasiertes Tool zu.

1 Tag ago

Nürburgring auf Digitalisierungskurs

Die "Grüne Hölle" soll mithilfe Künstlicher Intelligenz noch sicherer werden.

1 Tag ago

Führungskräfte brauchen ökologisches Händchen

Gartner: 70 Prozent der Führungskräfte in der Technologiebeschaffung müssen bis 2026 Leistungsziele erreichen, die auf…

1 Tag ago

Deutsche sind klar Letzte in punkto Datenschutz

Cisco Consumer Privacy Survey zeigt: 57 Prozent der Deutschen sehen sich nicht in der Lage,…

2 Tagen ago