Trend Micro lockt Cyber-Terroristen in SCADA-Honeypot

Spionage-Attacken mitnichten nur aus China

| Redakteur: Stephan Augsten

Trend Micro hat Hacking-Attacken auf vermeintliche ICS- und SCADA-Systeme provoziert.
Trend Micro hat Hacking-Attacken auf vermeintliche ICS- und SCADA-Systeme provoziert. (Bild: Archiv)

Um die Risiken für industrielle Kontrollsysteme und Netzwerke zu analysieren, hat Trend Micro einen Modellversuch gestartet. Als Honeypot für potenzielle Hacker und Cyber-Terroristen diente eine angebliche Pumpstation, die im Internet sichtbar war. Erste Angriffe erfolgten nach 18 Stunden.

Die Malware-Attacken durch Stuxnet, Duqu und Flame(r) haben gezeigt, dass Industrial Control Systems (ICS) und SCADA-Netzwerke (Supervisory Control And Data Acquisition) angreifbar sind. In der Sicherheitsbranche herrscht allerdings Uneinigkeit darüber, wie groß das Gefahrenpotenzial wirklich ist.

Vor diesem Hintergrund hat der Security-Hersteller Trend Micro einen Modellversuch gestartet. Die Sicherheitsforscher wählten eine US-amerikanische Kleinstadt mit 8.000 Einwohnern und simulierten ein Wasserdruck-Kontrollsystem, das über das Internet sichtbar war.

Während die Pumpstation selbst nur angeblich existierte, waren andere Komponenten wie Computer oder die Steuerungseinheiten für die Wasserpumpen tatsächlich vorhanden. Darüber hinaus hinterlegte Trend Micro präparierte technische Dokumentationen, die scheinbar von der Stadtverwaltung stammten.

Trend Micro erstellte somit eine komplette ICS- und SCADA-Architektur mit drei Honeypots, die des Realismus halber gängige Schwachstellen enthielten. Die Forscher wollten anhand dessen prüfen, wer welche Teile der Infrastruktur über das Internet angreift und zu welchem Zweck.

Hacking-Aktivitäten nicht nur aus China

Nach gerade einmal 18 Stunden verzeichnete Trend Micro den ersten Angriff, innerhalb des ersten Monats registrierten die Sicherheitsforscher insgesamt 39 Attacken aus 14 Ländern. Gut ein Drittel der Angriffe ließ sich nach China zurückverfolgen, 19 Prozent der Attacken hatten ihren Ursprung in den USA und weitere zwölf Prozent stammten aus Laos.

Ein Dutzend Angriffe ließ sich laut Trend Micro eindeutig als „gezielt“ klassifizieren; 13 weitere Attacken wurden von einem oder mehreren Absendern an mehreren Tagen wiederholt ausgeführt und gelten somit als „gezielt und/oder automatisiert“. Darüber hinaus untersucht Trend Micro derzeit 14 weitere Angriffe, die ebenfalls bereits als gezielt eingestuft werden konnten.

Von einem Cyberwar kann laut Udo Schneider, Senior Manager PR Communications bei Trend Micro, zwar noch nicht die Rede sein, wohl aber von einer Vorstufe zum Cyberterrorismus: „Wer industrielle Steuerungssysteme ausspioniert und sie zu manipulieren versucht, lässt die Grenzen zwischen Wirtschaftsspionage und destruktiven Aktionen verschwimmen.“ Die Aktivitäten könnten nicht nur wirtschaftlichen Schaden anrichten, sondern unter Umständen sogar Leben gefährden.

Interessierte erhalten ausführliche Informationen zu den ICS-Angriffen im Forschungsbericht (PDF, 1 MB). Ein zusätzliches Whitepaper von Trend Micro beschreibt die Maßnahmen für mehr Sicherheit bei ICS-Systemen (PDF, 1,4 MB).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38680390 / Security-Testing)