Um herauszufinden, wie Angriffe auf kritische Infrastrukturen ablaufen, lockten die Unternehmen Sophos und Koramis Hacker mithilfe eines simulierten U-Bahn-Steuerungssystems an. (Bild: Koramis)
Im Fokus von Cyber-Attaken stehen häufig Industrieunternehmen und Einrichtungen des Gemeinwesens – sogenannte kritische Infrastrukturen – wie Energieversorgung, Informationstechnik und Telekommunikation, Gesundheit oder Transport und Verkehr. Deren Beeinträchtigung kann zu einer nachhaltigen Störung der öffentlichen Sicherheit führen. Hackerangriffe auf kritische Infrastrukturen sind somit zu einer ständigen Bedrohung der industriellen IT geworden.
Anfang 2015 wurde nach einem Bericht zur Lage der IT-Sicherheit in Deutschland des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bekannt, dass Hacker in das Netzwerk eines deutschen Stahlwerks eingedrungen waren. Die Angreifer hatten die Steuerung des Hochofens übernommen und die Anlage beschädigt, was zum Ausfall ganzer Systeme führte. Laut den Berichten waren die Verantwortlichen nicht mehr in der Lage, den Hochofen geregelt herunterzufahren.
Um herauszufinden, wie Angriffe auf kritische Infrastrukturen ablaufen, welche Gefahren drohen und wie verbreitet das Wissen über solche Systeme in der Hacking-Szene ist, hat das IT-Sicherheitsunternehmen Sophos in seiner Hackerfalle ‚Honeytrain‘ in Zusammenarbeit mit der Firma Koramis untersucht, wie industrielle Steuerungssysteme durch Eindringlinge identifiziert und angegriffen werden. Dafür bauten sie eine reale Infrastruktur aus dem Sektor Transport und Verkehr nach und stellten diese als Köder – als sogenannten ‚Honeypot‘ – ins Netz. Mit erschreckendem Ergebnis: Insgesamt registrierte Sophos 2,7 Millionen Zugriffsversuche aus aller Welt über einen Zeitraum von sechs Wochen.
Technik im Detail
Hinter den Kulissen von Honeytrain
Um ein authentisches U-Bahn-Steuerungssystem zu simulieren, kreierten Sophos und Koramis einen industriellen Honeypot (Control System Honeypot: Conpot), indem sie verschiedene Steuerungssysteme, Protokolle und HMIs nachbildeten. Unter anderem realisiert der Conpot eine Visualisierung der Fahrbahnstrecke über eine Webschnittstelle. Für das Projekt Honeytrain setzten die Unternehmen die Siemens-Steuerungen Simatic S7-1200 und S7-1500 ein. Sie bildeten die Komponenten zur Signal- und Zugsteuerung. Beide Controller besitzen eine Webschnittstelle zum Administrieren. Für den Nachbau des Infoportals eines Verkehrsbetriebes diente als Basissystem ein CentOS 7 mit OpenSSH v6.6.1 und Apache-Webserver 2.4.6 . Bei dem Medienserver, der für die Streams der Überwachungskameras genutzt wurde, kam als Basissystem eine Ubuntu Linux Mint 16perta mit Apache-Webser v2.4.10 und OpenSSH v6.1.2 zum Einsatz.
Honeytrain als Hacker-Bluff
In dem Projekt Honeytrain simulierten die Unternehmen ein originalgetreues U-Bahn-Steuerungssystem mit realen Industrie-Steuerungssystemen und Hard- und Software-Komponenten aus der Automatisierungs- und Leittechnik, zum Beispiel existierender Schienenverkehrssysteme. Zusätzlich täuschten die Projektbeteiligten über einen Medienserver Videos von Überwachungskameras existierender Bahnhöfe und Zugführerkabinen vor und integrierten eine Webseite mit allgemeinen Infos, Fahrplänen, Ticket-Service und Störungen bezüglich des Betriebsablaufs. Des Weiteren wurden Steuermöglichkeiten sowie Rück- und Statusmeldungen mittels integrierter Bussysteme (Profibus, CAN-Bus, Modbus, Profinet und I/O-Peripherie-Schnittstellen) wie bei einem echten Verkehrssystem implementiert. Das Absetzen von Steuerbefehlen und die Visualisierung aller wichtigen Betriebszustände nahmen sie in einer realistischen Leitstand-Nachbildung vor, über die sich Modellbahnzüge im Maßstab 1:87 (H0) steuern ließen.
Damit Hacker auf die Infrastruktur aufmerksam wurden, erstellten die Projektbeteiligten ein Listing der einzelnen Komponenten in der ‚Internet-of-Things-Suchmaschine‘ Shodan. Die Simulation war so authentisch, dass Angreifer dachten, in ein real existierendes System einzudringen. Mittels kontinuierlicher Angriffsanalyse und -bewertung erhielten die Projektbeteiligten ein Bild über die Qualität, Quantität und Aggressivität der Angreifer. Die Simulation diente dabei lediglich als exemplarisches Vorbild. Ziel des Projekts war nicht, mögliche Angriffe auf den realen Schienenverkehr darzustellen. Spannend war vielmehr die Frage, wie weit Hacker gehen. Begnügen sie sich mit dem bloßen Eindringen in die IT-Systeme? Nehmen sie Sachschäden oder gar die Gefährdung von Menschenleben in Kauf?
Angriffe auf Firewall, Zugsteuerung und Überwachungskameras
Layout Honeytrain: Damit die Infrastruktur für Angreifer real erschien, wurden alle zugehörigen Systeme nach dem Standardlayout der Hersteller aufgebaut. Koramis
Nachdem das Engineering und der Aufbau der industriellen Infrastruktur zur Steuerung der Modellzüge beendet waren, konfigurierten Sophos und Koramis für jedes industrielle System eine eigene öffentliche IP-Adresse, um den Einsatz von ISDN- oder DSL-Zugängen in realen Industrial Control Systems nachzustellen. Während der gesamten Laufzeit des Projekts zeichneten sie mithilfe von Analysetools den Netzwerkverkehr sowie die Systemevents auf und archivierten diese.
Insgesamt konnten die Projektbeteiligten 2.745.267 Zugriffsversuche verzeichnen. Zur weiteren Auswertung wandelten sie alle IP-Adressen über einen Geolocator in die entsprechenden Ländernamen um. Aus fast allen Ländern konnte im Projektzeitraum mindestens ein Zugriffsversuch auf eine der erreichbaren Komponenten registriert werden. China und die USA zählten dabei zu den führenden Ländern, gefolgt von Frankreich, Polen und Moldawien. Deutschsprachige Länder waren kaum vertreten: nur 1 % der Angriffe (insgesamt 26.512) stammten aus Deutschland. Weit unter 1 % blieben Österreich und die Schweiz mit jeweils 166 und 243 Angriffen.
Siemens S7 zur Steuerung der Züge. Koramis
Relativ eindeutig waren die Angriffsziele: 34 % der versuchten Attacken zielten auf die Firewall des Systems. Als ebenfalls beliebt erwies sich der Mediaserver, der die Streams der Überwachungskameras verarbeitet und diese über eine Webschnittstelle anbietet. Ihn zu hacken war in 27 % der Angriffsversuche das Ziel. Die Nachbauten von Steuerungssystemen, Protokollen und HMIs wurden in 23 % der Fälle angegangen. 7 % der Angriffe entfielen auf das Infoportal, das die Webseite eines Verkehrsverbundes simulierte.
Einige der erfolgreichen Zugriffe erfolgten über den Mediaserver. Hier nutzen die Hacker eine Wörterbuchattacke. Mit dieser versuchten die Angreifer, einen unbekannten Benutzer oder ein unbekanntes Passwort anhand einer umfangreichen Wörterliste zu ermitteln. Ein konkretes Ziel gab es offenbar nicht. Die Angriffe auf den Mediaserver zeigten ein eher spielerisches Vorgehen. Viele Hacker verfügten offenbar über kein tieferes Know-how, sahen sich neugierig im System um und verschwanden wieder. In einem der Fälle nutzten sie die Gelegenheit, um die ursprünglichen Inhalte des Webangebots kreativ umzugestalten, indem sie das Kamerabild eines U-Bahnhofs gegen ein eigenes Statement austauschten: ‚Big Brother is watching you‘ lautete die Botschaft.
Über das Human-Machine-Interface konnten die Züge unter anderem einzeln gesteuert werden. Koramis
Weit gefährlicher hätte einer der erfolgreichen Angriffe auf die Zugsteuerung (HMI) ausfallen können. Während der Dauer des Projekts stellten die Unternehmen vier erfolgreiche Logins auf diesen Teil des Systems fest. Zwei erfolgten über Wörterbuchattacken. In einem Fall gelang es den Angreifern, ein starkes Passwort zu überwinden. Anders als die Hacker auf dem Mediaserver verfügte diese Gruppe über sehr gute Kenntnisse industrieller Leitsysteme und wusste genau, in was für ein System sie eingedrungen waren. Die Hacker lasen Sicherheitseinstellungen der industriellen Komponenten über ein zentrales Tool aus und exportierten diese. In der Folge griffen die Eindringlinge auch auf die Visualisierung zu und aktivierten die Frontbeleuchtung eines Zuges, was im Steuerungssystem sichtbar wurde. Schlimmeres wäre an dieser Stelle möglich gewesen.
Kleine Maßnahmen können Schlimmes verhindern
Bereits kleine Maßnahmen können helfen, unerlaubten Zugriff auf Industrial Control Systems zu verhindern oder zu unterbinden. So sollten Unternehmen zunächst den Mehrwert einer direkten Anbindung an öffentliche Netzwerke evaluieren, bevor ein ICS damit verbunden wird. Wo es technisch und wirtschaftlich sinnvoll ist, sollte man auf Zugriffe von außen verzichten. Auch beim Passwortschutz gibt es einiges zu beachten. So sollten alle Standard- oder vorkonfigurierten Passwörter vor Inbetriebnahme geändert und sichere Passwörter mit mindesten acht Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen gewählt den.
Wirkungsvoller ist das Verwenden einer Multi-Faktor-Authentifizierung (soweit technisch möglich). Eine weitere Maßnahme zum Schutz der Systeme ist die Deaktivierung von nicht benötigten Services und Benutzern und die Verwendung sicherer Protokolle, zum Beispiel SSH anstatt Telnet. Die Verwendung von Verschlüsselungstechniken bei netzwerkübergreifender Kommunikation ist immer ratsam. Auch die Segmentierung der Netzwerke und gesicherte Systemzonen erhöhen die Schwierigkeiten für Angreifer um ein Vielfaches. Letztlich sollten Unternehmen auch die Schwachstellenpublikationen von Herstellern beobachten und Zugriffsversuche auf das System überwachen.
Sascha Pfeiffer
(mns)
