Cybercrime: Industriesteuerungen im Visier

Die Security-Firma Dragos schildert einen interessanten Fall, bei dem eine industrielle Steuerung kompromittiert wird, die eigentlich gar nicht mit dem Internet verbunden sein sollte. Die zentrale Rolle in der Geschichte spielt ein angeblicher Passwort-Cracker. Doch einige wichtige Fragen bleiben offen.

Eine fiktive Geschichte ...

Der für das System verantwortliche Ingenieur muss den programmierbaren Logikbaustein (PLC) eines industriellen Steuerungssystems aktualisieren. Doch das dafür erforderliche Passwort ist mit seinem nicht mehr erreichbaren Vorgänger verschwunden. Also greift er zu einem Strohhalm: Seine Suche im Internet fördert einen Passwort-Cracker für den fraglichen DirectLogic PLC von AutomationDirect zutage.

Und das Erstaunliche daran: Der präsentiert, nachdem ihn der Ingenieur auf der für die Steuerung verantwortlichen Workstation installiert und über die serielle Verbindung mit dem PLC sprechen lässt, tatsächlich das vermisste Passwort. Doch die Freude währt nicht lange: Denn der Passwort-Cracker infiziert heimlich im Hintergrund die Workstation mit dem Schadcode des Sality-Botnetzes.

... enthüllt reale Probleme

Dragos Analyse des angeblichen DirectLogic-Passwort-Crackers förderte spannende Dinge zutage. Der Cracker enthielt nicht nur zusätzliche Schadsoftware als Mitbringsel – er war auch gar kein Cracker im traditionellen Sinne. Stattdessen nutzte er eine Sicherheitslücke im DirectLogic-PLC aus, die ihm das Passwort frei Haus lieferte. Und das laut Dragos nicht nur über das serielle Kabel, sondern potenziell auch über seine Ethernet-Verbindung.

Schon eine schnelle Google-Suche zeigt ein ganzes Ökosystem von Passwort-Crackern für Industriesteuerungen jeglicher Couleur, darunter PLCs und Human/Machine Interfaces (HMIs) von Siemens bis hin zu LG, Panasonic und Mitsubishi. Konkret untersucht hat Dragos nur den Cracker für die DirectLogic PLCs; doch bei vielen anderen fanden sie bereits mit ersten Tests ebenfalls Zeichen von Malware. Man darf also annehmen, dass die Mehrzahl der Cracker trojanische Pferde sind, deren eigentlicher Zweck das Einschleusen von Schadsoftware ist.

Die mit dem DirectLogic-Cracker eingeschleuste Schadsoftware gehört zum Sality-Botnetz. Ihre Spezialität ist das Klauen von Krypto-Geld. Dazu überwacht sie permanent das Clipboard. Entdeckt sie dort die Adresse einer Krypto-Wallet, tauscht sie diese gegen eine der Kriminellen aus. Natürlich in der Hoffnung, dass der Anwender die Manipulation nicht bemerkt, die Wallet anschließend als Ziel einer Transaktion benutzt und ihnen somit die Coins überweist.

Leider lässt Dragos einige Fragen offen. So verraten die Sicherheitsspezialisten nicht, wie viel der fiktiven Geschichte mit der Infektion sich tatsächlich so abgespielt hat. Dass man eine Cracking-Software auf einer Workstation installiert, sollte eigentlich schon der gesunde Menschenverstand verbieten.

Immerhin ist der Sachverhalt mit dem verloren gegangenen Passwort und dem Griff nach dem Strohhalm plausibel genug, dass mehr als nur ein Körnchen Wahrheit darin stecken könnte. Doch die eigentlich spannende Frage ist ohnehin eine andere: Woher hatten die Betrüger die Informationen über die reale Passwort-Hintertür der DirectLogic-PLCs von AutomationDirect, die laut ICS-CERT auch im Bereich kritische Infrastruktur zum Einsatz kommt?

(ju)