US-amerikanischer Hersteller monatelang angegriffen
Ein namentlich genanntes Unternehmen wurde Opfer eines lange währenden Angriffs, so das US-amerikanische Department of Homeland Security (DHS). Die Firma ist von hoher Bedeutung für die Wirtschaft der USA.
Der Vorfall wurde dadurch verkompliziert, dass die Firma erst kürzlich mehrere Akquisitionen durchgeführt hatte, wodurch sich das Netzwerk erheblich erweiterte – und damit auch die Angriffsfläche. Das Unternehmen wies mehr als 100 Eingangs- und Ausgangspunkte in das Internet auf.
Das DHS schreibt in seinem Quartalsnewsletter:
„Eine große, kritische Herstellerfirma wurde durch mehrere professionelle Kriminelle über einen Zeitraum von mehreren Monaten kompromittiert.“
Das betroffene Unternehmen ist „ein Konglomerat mehrerer Firmen“, die in den letzten Jahren akquiriert wurden. Dabei mussten auch mehrere Netzwerke miteinander verbunden werden, was die Einsicht in Systeme verminderte und
„dem Angreifer unbemerkte laterale Bewegungen ermöglichte.“
Das Unternehmen wandte sich an das DHS um Unterstützung in diesem Fall. Dessen Team untersuchte daraufhin das Netzwerk und fand viele kompromittierte Maschinen. Es ist noch unklar, ob diese den industriellen Betrieb oder Back-End-Systeme steuerten. Letztendlich erhielten die Hacker „privilegierten Zugriff“ für das gesamte Netzwerk.
Die Experten empfehlen,
„die Netzwerkarchitektur komplett neu zu gestalten, damit das Unternehmen eine konsistente Sicherheitsstruktur über das gesamte Netzwerk hinweg hat.“
Behörden versuchen, ähnliche Vorfälle zu vermeiden. Bei der Entwicklung neuer IT-Systeme sind sie angewiesen, die Verbindungen möglichst gering zu halten, einschließlich Web-basierter Systeme. Die TIC-Initiative (Trusted Internet Connections) hat das Ziel, die Zahl externer Zugriffspunkte auf das Behördennetzwerk zu minimieren. Durch die Cloud gibt es jetzt aber eine Unzahl neuer Internetverbindungen.
Ein neues Zertifizierungsprogramm für webbasierte Dienste, das Federal Risk and Authorization Management Program (FedRAMP) nutzt auch den TIC-Ansatz. FedRAMP und das DHS entwickeln derzeit Richtlinien für Behörden, damit vor der Aktivierung von Cloud-Verbindungen die Einhaltung von TIC-Standards sichergestellt wird.
Davon unabhängig gab das Pentagon bekannt, dass es diverse Abteilungen, unter anderem die Air Force, auf ein Netzwerk in San Antonio umgelagert hat, um sich in Richtung eines „konsolidierten, gemeinschaftlichen und sicheren Joint Information Environment (JIE) für das gesamte Verteidigungsministerium“ zu bewegen.
Artikel von nextgov.com, 10.10.2014: DHS: Attackers Hacked Critical Manufacturing Firm For Months