Hackerangriffe auf industrielle Anlagen gab es in der Vergangenheit schon ein paar Mal: Stuxnet – im Iran, BlackEnergy und Industroyer – in der Ukraine und Sandworm – in den USA, hießen die Malwareprogramme dieser Angriffe. Mitte Dezember fand ein weiterer Angriff statt.

Das Unternehmen FireEye, Spezialist für datengestützte Sicherheit, entdeckten im Dezember letzten Jahres eine neue Malware. Sie wurde Triton oder auch Trisis genannt, da sie die Triconex Sicherheitssteuerungssoftware von Schneider Electric angreift. FireEye konnte herausfinden, dass Hacker damit Sicherheitssteuerungscontroller via Remote-Zugang eines Arbeitsplatzes neu programmieren wollten. Welcher Industriebetrieb von dem Angriff betroffen war, wurde nicht bekannt gegeben.

Aufmerksam auf den Angriff wurden die Experten nur deshalb, da sich die Sicherheitssteuerung der Anlage des Industriebetriebs selbst heruntergefahren hatte. Die Steuerung erkannte eine gescheiterte Gültigkeitsprüfung im Anwendungscode zweier gleichartiger Prozesse. Die FireEye Analyse brachte anschließend die Neuigkeiten zu Tage. Demnach hatten die unbekannten Hacker Triton so programmiert, dass sie gezielt bestimmte Industrieanlagen beschädigen konnten, um so einen Produktionsschaden zu verursachen.

Laut Scheider Electric gab es keine Schwachstelle in ihrem Produkt, die die Hacker ausgenutzt haben. Triton sei ganz bewusst dafür programmiert worden, um mit dem Kommunikationsprotokoll TriStation kommunizieren zu können. Triconex Prozesssicherheitslösungen von Schneider Electric werden in vielen Tausenden von Anlagen verwendet. Allerdings sei jede Anwendung ganz speziell auf die Anforderungen des Kunden programmiert. Daher sei ein groß angelegter Angriff auf diese Systeme realistisch nicht durchführbar so Schneider Electric. Ihre Software hatte in diesem Fall völlig korrekt reagiert und hätte sich selbst heruntergefahren, als sie eine Abweichung im Datenfluss feststellte.

Die Hacker hatten Triton als berechtigte Triconex SIS-Controller-Management-Software für Windows getarnt. Die darin verborgene Schadsoftware konnte am Windows-Arbeitsplatz dann Konfigurationsdateien lesen, SIS-Controller identifizieren und versuchen, bestimmte Datenpakete zu übertragen. Sie war konfiguriert um die gesteuerte Anlage zum Stillstand zu bringen oder sie in einen unsicheren und gefährlichen Zustand zu versetzen. Das Ziel hinter Triton ist, in irgendeiner Weise Schaden anzurichten.

In seinem Bericht stellt FireEye fest, dass die Hacker hoch qualifiziert waren, um diese Malware zu konstruieren. Sie kommen zu dem Schluss, dass die Malware speziell programmiert und getestet hat.
Außerdem programmierten sie Triton so, dass die Malware keine Manipulationsspuren in der Sicherheitssteuerung hinterlassen würde. Sie infizierten eine SIS-Engineering-Workstation, das ist ein Arbeitsplatz in einem isolierten Netzwerk. FireEye kommt zu dem Schluss, dass dieser Angriff durch eine nationalstaatlich gestützte Hackergruppe durchgeführt wurde. Außerdem sehen die Forscher kein klares monetäres Ziel hinter dem Angriff. Und letztlich sind enorme technische Ressourcen nötig, um ein derartiges Vorgehen durchzuziehen.

Angriffe auf kritische Infrastrukturen mit dem Ziel der Zerstörung von Systemen passt ganz genau in die Angriffs- und Spionageaktivitäten von staatlichen russischen, nordkoreanischen, US-amerikanischen und israelischen Hackern, sagten die FireEye Forscher. Sicherheitsexperten sagen eine Zunahme solcher Angriffe voraus für die Zukunft. Diesen Angriff werten sie daher einfach als ein Versuch. Lernen aus Fehlschlägen sei hier erst einmal das vornehmliche Ziel. Triton habe jedoch ganz klar andere Absichten, als die bisher eingesetzte Malware. Manipulationen an der Steuerung von Sicherheitssystemen für Produktionsanlagen hat das Ziel Vermögenswerte und Menschen zu gefährden. Echte Gefahr für Leib und Leben – nicht einfach Stillstand durch Sabotage.

Schneider Electric sagte in einer Mitteilung, dass es sich des Problems bewusst ist und untersucht mögliche weitere Angriffsszenarien. Das Unternehmen ist in enger Zusammenarbeit mit seinen Kunden, unabhängigen Cybersicherheitsfirmen und ICS-CERT. Am 18. Januar empfahl Schneider Electric seinen Kunden, die detaillierten Sicherheitsrichtlinien in den Triconex-Handbüchern zu befolgen. Außerdem sollten IT-Sicherheitsmaßnahmen immer auf den aktuellsten Stand gehalten werden.

Artikel von bleepingcomputer.com, 14.12.2017: TRITON Malware Used in Attacks Against Industrial Safety Equipment
Artikel von arstechnica.com, 14.12.2017: Game-changing attack on critical infrastructure site causes outage
Artikel von wired.com, 14.12.2017: Unprecedented Malware Targets Industrial Safety Systems in the Middle East

Urheberrechte Beitragsbild: shutterstock.com