Skip to content

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013

Und weiter geht es mit den Vorträgen zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box". Nach den Konferenzen in den Jahren 2010/2011, 2011 und 2012 ist nun das Jahr 2013 an der Reihe:

März 2013 - Black Hat Europe

Auf der Black Hat Europe 2013 gab es einen Vortrag über die Angreifer auf Industriesteuerungen: "Who's Really Attacking Your ICS Devices?" von Kyle Wilhoit von Trend Micro, der Angriffe auf eine Reihe von Honeypots analysiert hat. Einen ähnlichen Vortrag auf der Grundlage von Daten, die auf Angriffen auf verbesserten Honeypots basieren, hat er auf der Black Hat USA im August gehalten.

Nach einem kleines Überblick über Industriesteuerungen allgemein und die ja schon des öfteren erwähnten Protokolle DNP3 und Modbus im besonderen gibt es eine Übersicht über die bekannten Schwachstellen in Industriesteuerungen. 2012 wurden in Produkten von 55 Herstellern 171 Schwachstellen entdeckt. Dass Industriesteuerungen mit dem Internet verbunden sind und über Google und Shoodan gefunden werden können ist für Sie ja nichts Neues, war es auf der Konferenz aber vielleicht für einige Besucher schon. Aber auch auf Pastebin gibt es mitunter Hinweise auf Industriesteuerungen. Meist, wenn Angriffe darauf oder Schwachstellen darin beschrieben werden.

Als praktisches Beispiel nennt Kyle Wilhoit einen Angriff auf eine Wasserpumpe in einer "Small town in rural America", die zwischen dem 14. November und 19. Dezember angegriffen wurde. Ein Jahr nennt er nicht, ich hoffe, er meint nicht einen dieser zwei Fälle, denn das waren keine Angriffe. Das eine war eine Demonstration dafür, dass Industriesteuerungen aus den Internet zugänglich sind, dabei gab es keine Manipulationen. Das andere war eine Verknüpfung ungewöhnlicher Umstände verbunden mit einer unfähigen Behörde, die wohl gerne mal "Terroralarm!!!!!" schreien wollte.

Danach wird es dann interessant: Kyle Wilhoit beschreibt die verwendeten Honeypots, die verschiedene Systeme mit Schwachstellen simulieren. Als Angriffe wurden nur gezielte Aktionen gewertet, bei denen die simulierten Pumpensysteme und/oder Modbus/DNP3-Verbindungen manipuliert wurden. Außerdem zählten DoS/DDoS-Angriffe als Angriff.

Portscans und ungezielte und/oder automatisierte Angriffe wurden nicht mit gezählt. Ebensowenig Drive-by-Angriffe, aber die sollten bei einem Honeypot nicht vorkommen. Oder surft der im Internet und gelangt dabei auf präparierte Seiten? Dann sollte man dessen künstliche Intelligenz mal genauer untersuchen.

Die meisten Angriffe gingen von Rechnern in China (17), den USA (9), Laos (6), Großbritannien (4) und Russland (3) aus. Mit je einem Angriff waren auch noch die Niederlande, Japan, Brasilien, Polen, Vietnam, Palästina, Chile, Kroatien und Nord Korea vertreten. Wobei ich bei solchen Angaben ja immer skeptisch bin. Woher ein Angriff wirklich erfolgte lässt sich nicht mit Sicherheit feststellen. Zumindest nicht, wenn der Angreifer es ernst meint und nicht gefunden werden will. Die Frage ist nur, ob die Honeypots viele solche Angreifer angelockt haben.

Die "Angriffe" sind teilweise eher lächerlich: Unautorisierte Zugriffe, versuchte Zugriffe auf geschützte Bereiche - Web-Admins sind bei dieser Aufzählung hoffentlich nicht in zu lautes Lachen ausgebrochen. Da hat jemand "offene" Systeme entdeckt und rum gespielt. Selbst Schuld, wer Systeme ungeschützt ans Internet hängt muss mit sowas nun mal rechnen. Naja, in diesem Fall war es ja sogar Absicht. Ernster sind dagegen wohl Modifikationen der "CPU Fan Speed" der Wasserpumpe und des Modbus-Traffics, manuelle Manipulationen an den Druck- und Temperatureinstellungen der simulierten Pumpen oder den Versuch, die Systeme herunter zu fahren, zu nehmen.

Ebenfalls interessant ist ein "Spearphishing"-Angriff, auf den Kyle Wilhoit "hereingefallen" ist. Die über ein per E-Mail zu geschicktes Word-Dokument eingeschleuste Schadsoftware besteht aus zwei Programmen: Eines sammelte alle lokalen Passwort-Hashes ein, das andere öffnete eine Hintertür und verbindet sich mit einem Command&Control-Server in China. Über die ausgespähten Zugriffsdaten wurde dann auf die simulierten Industriesteuerungen des Honeypots zugegriffen. Wobei der Standort des C&C-Servers und das Zurückverfolgen der Zugriffe zu einer Universität in China nicht zwingend bedeutet, dass auch der Angreifer aus China stammt. Genau so gut kann der Angreifer dort kompromittierte Systeme verwendet haben, um seine tatsächliche Herkunft zu verschleiern. Denn wer würde schon dem Admin der chinesischen Universität glauben, wenn der auf Nachfrage erklärt, einer seiner Server sei kompromittiert worden und er hätte die Angriffe seinerseits zum Beispiel bis zu einem Server im US-amerikanischen Maryland zurückverfolgen können?

Da dieser Angriff der ausgefeilteste war geht Kyle Wilhoit danach auf Schadsoftware-basierte Spionage-Angriffe ein. Zum Abschluss gibt es dann die obligatorischen Ratschläge zur Absicherung von Industriesteuerungen.

In der nächsten Folge geht es weiter um Vorträge aus dem Jahr 2013, als nächstes von der "Hack in the Box"-Konferenz 2013 in Amsterdam.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Die Heimautomation auf Sicherheitskonferenzen - als Thema, nicht im Einsatz
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2010
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2011
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2012
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 5
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 6
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 7
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 9
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 1
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 2
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 3
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 4
SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen 2014, Teil 5

Trackbacks

Keine Trackbacks