Sicherheitsunternehmen analysiert Angriffe auf Industriesteuerungen
Auf der Security-Konferenz Black Hat Europe stellte Trend Micro einen Forschungsbericht ĂĽber einen Praxisversuch vor und zeigt, von wo aus und auf welche Art industrielle Systeme mit Malware angegriffen werden.
Komplexe Malware wie Stuxnet, Duqu oder Flame haben die Aufmerksamkeit der Sicherheitsexperten auf die Angreifbarkeit industrieller Systeme gelenkt. Um die Bedrohungslage besser verstehen zu können, hat das Sicherheitsunternehmen Trend Micro einen Praxistest durchgeführt und seine Ergebnisse bei der europäischen Black Hat vorgestellt.
Die Trend-Micro-Experten schufen eine Honeypot-Architektur aus verschiedenen emulierten ICS/SCADA-Geräten, die "im wirklichen Leben" häufig mit dem Internet verbunden sind. Die Honeypots enthielten für diese Systeme typische Schwachstellen. Als Rahmen für die Installation diente ein im Internet sichtbares Wasserdruckkontrollsystem einer (fiktiven) Pumpstation, angesiedelt in einer amerikanischen Kleinstadt. Mit dieser Installation wollten die Forscher herausfinden, wer zu welchem Zweck welche Teile der verbundenen ICS-/SCADA-Geräte angreift und ob die Angriffe zielgerichtet durchgeführt werden.
Schon nach 18 Stunden konnte Trend Micro erste Angriffe verzeichnen. Relevant für die Forscher waren nicht Portscans oder automatisierte Angriffe durch SQL Injection oder "Drive-by", sondern alles, was die mit dem Internet verbundenen ICS-/SCADA-Geräte tatsächlich bedrohen kann: etwa nicht-autorisierte Zugriffe auf sichere Bereiche der Site, Änderungen auf erkannten Controllern, Angriffe auf für diese Geräte typische Protokolle (Modbus) sowie gezielte Zugriffsversuche oder das Provozieren von Sicherheitsvorfällen auf Server.
In einer Zeitspanne von einem Monat verzeichneten die Honeypotdaten 39 Angriffe aus 14 Ländern. Mit einem Anteil von 35 % kamen die meisten Angriffe aus China. 19 % stammten aus den USA, 12 % aus Laos, 8 % aus UK und 6 % aus Russland. Der Rest verteilt sich annähernd gleich (2 %) auf verschiedene asiatische, südamerikanische und europäische Länder. 12 dieser Angriffe konnten die Forscher als "gezielt" einstufen und 13 wurden an mehreren Tagen wiederholt ausgeführt. Neben diesen "gezielt" und/oder "automatisiert" durchgeführten Angriffen gab es weitere 14, die die Forscher derzeit noch untersuchen. Sie sind aber, so viel ist erkennbar, ebenfalls als "gezielt" einzustufen. Unklar ist laut Trend Micro die Motivation der Angreifer, offensichtlich jedoch das weltweite Interesse selbst an einer so harmlosen Sache wie Wasserpumpen.
Weitere technische Details sind in dem als PDF veröffentlichten Forschungspapier nachzulesen.
(ur)