home Herstellungstechnologie Produktionsanlagen
Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Industrial Internet of Things >> Internet der Dinge-Technologie

Trisis-Malware in einer weiteren Industrieanlage entdeckt

Als Cybersicherheitsforscher von Dragos und FireEye die sogenannte Triton-Malware enthüllten für industrielle Sicherheitssysteme war es eine Offenbarung. Triton war die erste Entdeckung von Malware, die physische Zerstörung verursachen soll. Der Code tat dies, indem er auf ein instrumentiertes System für die industrielle Sicherheit abzielte, war aber glücklicherweise nicht effektiv, um eine Katastrophe zu verursachen.

Der Angriff, auch bekannt als "Trisis", war bis vor kurzem noch geheim. Erste Berichte über den Angriff waren vage. Hinter dem Anschlag, der irgendwo im Nahen Osten stattfand, steckte vermutlich ein nationalstaatlicher Akteur. Triton diente aber auch als Weckruf, da es in Form eines Notfalls in einer Öl- und Gasfabrik massive Zerstörungen anrichten könnte.

„Ich war ungefähr eine Woche oder so im Nahen Osten, bevor Triton auf den Markt kam“, erinnert sich Jason Haward-Grau, CISO von PAS Global. In einem Gespräch fragte Haward-Grau einen Sicherheitsdirektor des dortigen Ölkonzerns, wie er das Niveau der Cybersicherheit im Unternehmen halte. „Nun, er hat mir gesagt, dass er sich um nichts kümmern muss. Ich dachte:‚Wow, du bist die einzige Person, die ich in der Cybersicherheit getroffen habe, die sich keine Sorgen macht. Ich höre nicht auf, mir Sorgen zu machen. Ich kann nicht schlafen“, fuhr Haward-Grau fort. Der im Nahen Osten ansässige Cybersicherheitsexperte fuhr fort, die Gründe zu nennen, warum er nachts gut schlafen konnte:„Wir haben Luftspalten. Wir haben Datendioden. Und wenn alles schief geht, haben wir ein SIS-System“, sagte der Sicherheitsdirektor und bezog sich auf das sicherheitstechnische System, das dafür ausgelegt ist, einen kritischen Industriebetrieb im Notfall sicher und reibungslos ausfallen zu lassen.

[ Welt des Internets der Dinge ist die Schnittstelle zwischen Branchen und IoT-Innovation. Buchen Sie Ihr Konferenzkarte und 350 $ sparen, Kostenloser Expo-Pass oder siehe IoT-Sicherheitslautsprecher bei der Veranstaltung.]

Eine Woche später traf Trisis ein, was den Cybersicherheitsexperten veranlasste, Haward-Grau anzurufen. „Er rief mich an und sagte:‚Hören Sie, wissen Sie, wie ich sagte, wir hätten drei zentrale Ansätze für die Cybersicherheit. Ich bin jetzt ein bisschen nervös, weil wir vielleicht nicht alle drei haben.“

Während Trisis in den Monaten nach ihrer Aufdeckung Schockwellen im Bereich der industriellen Cybersicherheit auslöste, gab es nur spärliche Details zur Malware. Jetzt zeichnet sich ein klareres Bild des Angriffs ab. Das Cybersicherheitsunternehmen FireEye bestätigte am 10. April, dass es einen weiteren Angriff auf eine separate kritische Infrastruktureinrichtung entdeckt hat. Im vergangenen Jahr gab das Cybersicherheitsunternehmen außerdem bekannt, dass der Angriff russische Wurzeln hat.

„Für die meisten Eigentümer und Betreiber spielt es keine Rolle, ob Russland dahintersteckt oder eine Hacktivistengruppe“, sagte Emily S. Miller, Direktorin für nationale Sicherheit und kritische Infrastrukturprogramme bei Mocana. „Wichtig ist, dass sie schlimme Dinge passieren können. Und wenn es um kritische Infrastruktur geht, bedeutet das den Verlust von Menschenleben.“

FireEye hat ein klareres Bild der Mechanik von Triton entwickelt, das Dutzende von Standard- und benutzerdefinierten Einbruchstools nutzte. Zum Beispiel wurde SecHack zum Sammeln von Credentials verwendet, während Cryptcat, Bitvise, OpenSSH und PLINK Hintertüren erstellten. Benutzerdefinierte Tools haben Angreifern wahrscheinlich geholfen, den Cybersicherheitsschutz zu umgehen.

Die Auswirkungen eines erfolgreichen Angriffs auf ein SIS-Ziel könnten erheblich sein. „Ein böser Akteur kann einen Prozess [der eine Industrieanlage im Notfall schützen soll] abschalten, indem er die Konfiguration eines Sicherheitssystems manipuliert“, sagte Eddie Habibi, CEO von PAS Global, in einer E-Mail-Erklärung. „Die eigentliche Gefahr liegt jedoch darin, wenn der Angreifer andere ICS-Systeme innerhalb derselben Einrichtung wie das Sicherheitssystem infiltriert“, fuhr er fort. In diesem Fall kann ein Gegner den Grundstein für eine Katastrophe legen, indem er industrielle Prozesse so ändert, dass die sicheren Betriebsgrenzen überschritten werden, was möglicherweise zu physischer Zerstörung, Verletzungen und Tod sowie Umweltverschmutzung führt. In der Einrichtung, in der die Malware erstmals identifiziert wurde, könnte Triton die Funktion eines Brennermanagementsystems gestört und möglicherweise die Freisetzung von Schwefelwasserstoffgas ausgelöst haben.

Triton, das auf Geräte von Schneider Electric abzielte, könnte auch Nachahmer-Angriffe auslösen, die nicht nur darauf abzielen, sensible Daten zu stehlen, sondern auch physische Zerstörung und möglicherweise den Verlust von Menschenleben zu verursachen. "Ich denke, wir haben die Katalyse ähnlicher Angriffe gesehen", sagte Miller. Und der Angriff bietet nicht nur eine Blaupause für Angriffe auf den Öl- und Gassektor, der angeblich bei dem ersten angekündigten Trisis-Angriff zum Ziel wurde, sondern jede Art von kritischer Infrastruktur einschließlich Gebäudeautomationssystemen. „Schauen Sie sich Black Energy an“, sagte Miller und bezog sich auf die Malware, die bei der Abschaltung eines Teils des Stromnetzes in der Ukraine eine Rolle gespielt hat. „Als es kam, war es völlig neu und neuartig. Jetzt ist es etwas, das Sie im Dark Web kaufen können.“ Die Gegner, die solch gefährliche Angriffe entwickeln, könnten ihre Taktiken mit gleichgesinnten Hackern online teilen, ähnlich wie Köche, die online Rezepte aussaugen, sagte Miller.

Das Potenzial für eine weitere nationalstaatliche Unterstützung solcher Angriffe ist ebenfalls besorgniserregend. „Bei der aktuellen Generation von Operational Technology (OT)-Systemen ist ein uneingeschränktes Cybersicherheitsproblem ein uneingeschränktes Sicherheitsproblem“, sagte John Sheehy, Vice President of Strategic Services bei IOActive in einer E-Mail-Erklärung. Schneider hat seitdem eine Aufklärungskampagne gestartet, um Triton zu einem „Aufruf zum Handeln“ für die Branche zu machen, sagte Andrew Kling, Direktor für Cybersicherheit und Systemarchitektur bei Schneider Electric, letztes Jahr in einem Interview.

FireEye-Forscher glauben, dass Nationalstaaten solche Malware zur Unterstützung von Notfalloperationen verstärken könnten, anstatt sofort zerstörerische Angriffe zu starten. Die Einrichtung und potenzielle Orchestrierung eines Angriffs wie Trisis erfordert wahrscheinlich jahrelange Planung und Zeitinvestitionen von Bedrohungsakteuren, die daran arbeiten, sicherzustellen, dass sie weiterhin Zugriff auf die Umgebung ihres Ziels haben. Das FireEye-Forschungsteam glaubt, dass es fast ein Jahr gedauert hat, bis der Gegner den Zugriff vom Netzwerk seines Ziels auf eine SIS-Engineering-Workstation erweitert hat. In der Zwischenzeit hat der Angreifer sorgfältig daran gearbeitet, seine Spuren zu verbergen, indem er beispielsweise ausführbare Malware-Dateien so umbenannt hat, dass sie wie Microsoft-Update-Dateien aussehen. FireEye glaubt, dass die Angreifer hinter Trisis seit mindestens 2014 aktiv sind.

John Sheehy, Vice President of Strategic Services bei IOActive und Miller a sagten, die Triton-Malware sollte auch als Anstoß dienen, ganzheitlichen Cybersicherheitsschutz in industrielle Umgebungen zu integrieren, anstatt sich hauptsächlich auf Abwehrmaßnahmen wie Netzwerküberwachung und Bedrohungssuche zu konzentrieren. Sheehy betonte auch, wie wichtig es ist, physische Schutzmaßnahmen in industrielle Umgebungen einzubauen, die dazu beitragen könnten, einen erfolgreichen sicherheitsorientierten Cyberangriff abzuschwächen. „Wenn möglich, sollten Konstrukteure orthogonale Sicherheitssteuerungen wie mechanische Druckbegrenzungsventile oder mechanische Regler verwenden, die keine Übereinstimmung mit den Steuerungssystemen aufweisen und daher nicht von ihnen beeinflusst werden können“, sagte Sheehy. „Die heutigen OT-Implementierungen sollten sich darauf konzentrieren, die Folgen eines Cybersicherheitsangriffs durch mehrschichtigen Schutz und Abwehrmaßnahmen mit nicht-Cybersecurity-Engineering-Kontrollen zu managen. Dies sollte mit dem Fokus darauf erfolgen, dem Prozess und dem Gesamtbetrieb eine operative Widerstandsfähigkeit zu verleihen.“

„Lassen Sie uns hier zur Ursache der Auswirkungen kommen:Wir müssen die Sicherheit dieser ICS-Geräte von Anfang an verstärken und einbetten“, sagte Miller in einer E-Mail-Erklärung. „Bis wir das tun, werden wir uns weiterhin wie sitzende Enten für noch mehr kritische Infrastrukturangriffe wie diesen dalassen.“


Internet der Dinge-Technologie

  • Eingebettet
  • Sensor
  • Cloud Computing
  • Internet der Dinge-Technologie
    1. Wie 5G das industrielle IoT beschleunigen wird
    2. Der Weg zur industriellen IoT-Sicherheit
    3. CPwE:Ein Entwurf für ein industrielles Netzwerk
    4. Nachrüstung der Cybersicherheit
    5. Warum TÜV SÜD als führendes Unternehmen im Bereich der industriellen Cybersicherheit bezeichnet
    6. Generische Angriffe erhöhen das Profil der industriellen Cybersicherheit
    7. Avnet VP zum Weltmarktführer des Jahres für das industrielle IoT ernannt
    8. Unsere (Info-)Grafik, kurze Geschichte des industriellen Internets der Dinge
    9. Ausgefallene Gleitringdichtung sorgt für Hitze in einem Kühlhaus
    10. Cybersicherheit von Claroty:kritischer als Datensicherheit?