+43 699 / 18199463
office@itexperst.at
Phishing-Trojaner legt US-Pipelinebetreiber lahm

Phishing-Trojaner legt US-Pipelinebetreiber lahm

Ein Trojaner zur Verschlüsselung von IT-Netzwerken traf ein Unternehmen der kritischen Infrastruktur in den USA. Es mussten daraufhin kurzfristig seinen Betrieb ein paar Tage abschalten. Ein größerer Schaden konnte damit verhindert werden.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency, kurz CISA genannt, veröffentlichte am 18. Februar dieses Jahres einen sogenannten Alarm-Bericht. Unter der Registernummer AA20-049A wird ein Vorfall beschrieben, der einen nicht näher bekannten Betreiber einer US-Gaspipeline betraf. Nicht genannt wurde darin, wann der Vorfall stattfand. Bekannt ist nur, dass es sich um einen Betreiber von Anlagen zur Verdichtung von Erdgas in Versorgungsleitungen handelt. Dessen IT-Netzwerke waren von Schadsoftware infiziert worden. Der Bericht geht nicht weiter ins Detail in Bezug auf die eingesetzte Ransomware.

Offenbar ist klar, wie die Erpressersoftware in das Netzwerk des Infrastruktur-Betreibers eingeschleust wurde: Die unbekannten Angreifer konnten einen Trojaner erfolgreich über einen manipulierten Phishing-Link in einer E-Mail übermitteln. Ein Mitarbeiter öffnete den Link und der Verschlüsselungstrojaner konnte sich zunächst im internen Netzwerk einnisten. Begünstigt wurde dessen weitere Verbreitung auf kritische Systeme dann dadurch, dass das interne Netzwerk nicht vom sogenannten OT-Netzwerk getrennt war. Der Bereich Operational Technologie ist das Netzwerk, über das alle Maschinen in einer Industrieanlage gesteuert und überwacht werden. Der CISA-Bericht spricht daher von einer nicht optimalen IT-Sicherheit. Optimal wäre eine physische Trennung des Büro-Netzwerks vom operativen Netzwerk für die Anlagensteuerung. Offensichtlich könnte eine Infektion des Büro-Netzwerks dennoch zu einer Stilllegung des Betriebs führen. Allerdings wäre der Schaden im operativen Bereich dann nicht so weitreichend.

Interessanterweise bezeichnete die CISA die Ransomware in ihrem Bericht als „gewöhnlich“. Das lässt Sicherheitsexperten darauf schließen, dass es sich nicht um einen sehr ausgefeilten und gezielten Angriff handelte. Allerdings konnte die Schadsoftware dennoch genügend Schaden anrichten, sodass der Betreiber keine Echtzeitdaten von der Verdichtungsanlage abrufen konnte. Das heißt, dass sich keinen Zugriff auf HMI-Schnittstellen mehr hatten, sozusagen blind waren für einige Zeit. Kritische Bereiche wie Steuerungsanlagen, mit denen sich Ventile oder andere Betriebsprozesse bedienen lassen, waren zum Glück nicht betroffen. Das lag daran, dass es sich bei der Erpresser Software um einen reinen Windows-Code handelte. Die Steuerungsprozesse in solchen Anlagen laufen nicht auf MS Windows. Die vorübergehende Abschaltung zur Reparatur der Systeme, wirkte sich auch auf weitere angeschlossene Verdichtungsanlagen in den Verteiler-Pipelines aus. Vermutlich kam es dadurch zu einem kurzfristigen Engpass im Verteilersystem. Der Bericht spricht aber davon, dass niemand zu Schaden gekommen sei trotz der zweitägigen Abschaltung der Pipeline.

Obwohl die Untersuchungen noch im Gange sind, ist so gut wie nichts über den betroffenen Betreiber bekannt. Die Cybersicherheitsfirma Dragos veröffentlichte einen Blog Beitrag. Darin spricht sie die Vermutung aus, dass ein fast gleichartiger Fall von der US-Küstenwache im Dezember gemeldet worden war. Der Fall gleicht sich auch in dem Punkt, dass die Küstenwache von einem über E-Mail eingeleiteten Angriff berichtete. Eine andere Vermutung, dass es derselbe Fall ist, lässt sich daraus schlussfolgern, dass der betroffene Betreiber juristisch unter die Marinegesetzgebung fällt. Darunter fällt auch alles, was auf dem Wasser schwimmt und auch Förder- und Transportanlagen von Erdgas.

Erpresser Software, Verschlüsselungstrojaner – welche wurde eigentlich eingesetzt?

Hier gehen die Meinungen der Experten weit auseinander: Im Bericht der CISA wird von einer gewöhnlichen Erpresser Software gesprochen und die Küstenwache spricht detailliert von der Ryuk Malware. Ryuk treibt schon seit einigen Jahren sein Unwesen unter den amerikanischen Behörden und Städten. Die Dragos Experten gehen davon aus, dass der Einbruch in die Systeme eher ein Zufall war. Demnach seien „die in der CISA-Warnung beschriebenen Ereignisse ein bekanntes Ransomware-Verhalten und kein ICS-spezifisches,“ erläuterten sie. Ein Experte von der Sicherheitsfirma FireEye, Nathan Brubaker, sagte dagegen, dass es ein ganz genau ausgesuchtes Angriffsziel gewesen sei, und erklärte dazu:

„Er glaube, dass die Angreifer, sobald sie erstmalig Zugang erhielten, wahrscheinlich Tage – und möglicherweise auch länger – damit verbracht haben, Netzwerk-Tools einzusetzen, um langsam Zugang zu immer mehr Bereichen des Netzwerks zu erhalten. Ihr Ziel bestand darin, sorgfältig zu untersuchen, welche Ressourcen damit verbunden waren. Und dabei diejenigen zu identifizieren, die für die Mission am kritischsten waren.“

Brubaker erklärte weiter

„Erst nach der Identifizierung der kritischsten Netzwerkressourcen würden Angreifer Befehle ausführen, die die Nutzlast der Lösegeldforderung ausführen. Diese Technik, wird als „Post-Compromise-Infection“ bezeichnet. Sie verschlüsselt in der Regel die wertvollsten Ressourcen in der Hoffnung, dass sie das Opfer zur Zahlung des Lösegelds zwingt.“

Auch sein Kollege Clint Bodungen geht von diesem Szenario aus. Er sagte, Ryuk sei keine automatische Malware. Sie verbreitet sich nicht von selbst, erfordere manuelles Eingreifen und muss manuell eingerichtet werden, sagte er.

CISA-Bericht sollte eher als Warnung dienen

Der Bericht der CISA enthält eine ganze Liste von empfohlenen Maßnahmen zur Sicherung von Systemen. Und es heißt ganz klar:

„Wir stellen diese Warnmeldung zur Verfügung, um Administratoren und Netzwerkschützern zu helfen, ihre Organisationen gegen solche und ähnliche Ransomware-Angriffe zu schützen“.

Zwölf Punkte werden dazu aufgelistet unter der Überschrift Technische und architektonische Abhilfemaßnahmen. Weitere sieben Punkte gehen auf den Bereich Planung und operative Abhilfemaßnahmen ein. Anlageneigentümer in allen Sektoren werden bestärkt, die aufgeführten Abhilfemaßnahmen unter Verwendung einer risikobasierten Bewertungsstrategie in Betracht zu ziehen, hieß es dazu.

SANS Experten Lee Neely und William Hugh Murray kommentierten den Warnbericht der CISA. Neely sagte, dass zur Netzwerkisolation oft die Notwendigkeit gehören würde, mit anderen nicht isolierten Systemen zu interagieren und Daten an diese zu übertragen. Die Verwendung eines vertrauenswürdigen Gateways oder einer Einwegverbindung würde solche Risiken reduzieren. Prozesse zum Datentransfer benötigen dazu nach wie vor aktive Anti-Malware-Schutzmaßnahmen. Murray riet dagegen, dass man nicht die Gelegenheit versäumen sollte, das Management daran zu erinnern, dass E-Mail und Surfen von missionskritischen Anwendungen isoliert werden sollten. Eine Situation könne nicht toleriert werden, so Murray, in der die Kosten für die Kompromittierung des Unternehmens gleich hoch seien wie die Kosten für Social Engineering bei einem von vielen Benutzern. Demnach solle man eine Kombination aus starker Authentifizierung, restriktiver Zugangskontrollpolitik und End-to-End-Verschlüsselung auf Anwendungsebene in Betracht ziehen.

Das IT-Sicherheitsunternehmens Dragos ist übrigens Spezialist für Industrieanlagen. Dragos legte daher seinen eigenen Bericht vor. Darin gehen seine Experten davon aus, dass es vermehrt zu solchen Angriffen kommen wird. Nach Analyse der Ransomware konnten sie Ekans Module entdecken. Diese seien speziell dafür gemacht, Prozesse in Steuerungsanlagen lahmzulegen. Das hätten sie bisher noch nicht in anderer Erpresser Software entdecken können.

Siehe auch

Artikel von us-cert.gov, 18.02.2020: Alert (AA20-049A) Ransomware Impacting Pipeline Operations
Artikel von arstechnica.com, 20.02.2020: A US gas pipeline operator was infected by malware—your questions answered
Artikel von theregister.co.uk, 19.02.2020: When the air gap is the space between the ears: A natural gas plant let ransomware spread from office IT to ops
Artikel von zdnet.com, 19.02.2020: DHS says ransomware hit US gas pipeline operator
Artikel von bbc.com, 19.02.2020: Ransomware-hit US gas pipeline shut for two days

Beitragsbild: Public Domain, Creative Commons CC0, jdblack über pixabay

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen