Suchen

Trend Micro lockt Cyber-Terroristen in SCADA-Honeypot Spionage-Attacken mitnichten nur aus China

| Redakteur: Stephan Augsten

Um die Risiken für industrielle Kontrollsysteme und Netzwerke zu analysieren, hat Trend Micro einen Modellversuch gestartet. Als Honeypot für potenzielle Hacker und Cyber-Terroristen diente eine angebliche Pumpstation, die im Internet sichtbar war. Erste Angriffe erfolgten nach 18 Stunden.

Firmen zum Thema

Trend Micro hat Hacking-Attacken auf vermeintliche ICS- und SCADA-Systeme provoziert.
Trend Micro hat Hacking-Attacken auf vermeintliche ICS- und SCADA-Systeme provoziert.
(Bild: Archiv)

Die Malware-Attacken durch Stuxnet, Duqu und Flame(r) haben gezeigt, dass Industrial Control Systems (ICS) und SCADA-Netzwerke (Supervisory Control And Data Acquisition) angreifbar sind. In der Sicherheitsbranche herrscht allerdings Uneinigkeit darüber, wie groß das Gefahrenpotenzial wirklich ist.

Vor diesem Hintergrund hat der Security-Hersteller Trend Micro einen Modellversuch gestartet. Die Sicherheitsforscher wählten eine US-amerikanische Kleinstadt mit 8.000 Einwohnern und simulierten ein Wasserdruck-Kontrollsystem, das über das Internet sichtbar war.

Während die Pumpstation selbst nur angeblich existierte, waren andere Komponenten wie Computer oder die Steuerungseinheiten für die Wasserpumpen tatsächlich vorhanden. Darüber hinaus hinterlegte Trend Micro präparierte technische Dokumentationen, die scheinbar von der Stadtverwaltung stammten.

Trend Micro erstellte somit eine komplette ICS- und SCADA-Architektur mit drei Honeypots, die des Realismus halber gängige Schwachstellen enthielten. Die Forscher wollten anhand dessen prüfen, wer welche Teile der Infrastruktur über das Internet angreift und zu welchem Zweck.

Hacking-Aktivitäten nicht nur aus China

Nach gerade einmal 18 Stunden verzeichnete Trend Micro den ersten Angriff, innerhalb des ersten Monats registrierten die Sicherheitsforscher insgesamt 39 Attacken aus 14 Ländern. Gut ein Drittel der Angriffe ließ sich nach China zurückverfolgen, 19 Prozent der Attacken hatten ihren Ursprung in den USA und weitere zwölf Prozent stammten aus Laos.

Ein Dutzend Angriffe ließ sich laut Trend Micro eindeutig als „gezielt“ klassifizieren; 13 weitere Attacken wurden von einem oder mehreren Absendern an mehreren Tagen wiederholt ausgeführt und gelten somit als „gezielt und/oder automatisiert“. Darüber hinaus untersucht Trend Micro derzeit 14 weitere Angriffe, die ebenfalls bereits als gezielt eingestuft werden konnten.

Von einem Cyberwar kann laut Udo Schneider, Senior Manager PR Communications bei Trend Micro, zwar noch nicht die Rede sein, wohl aber von einer Vorstufe zum Cyberterrorismus: „Wer industrielle Steuerungssysteme ausspioniert und sie zu manipulieren versucht, lässt die Grenzen zwischen Wirtschaftsspionage und destruktiven Aktionen verschwimmen.“ Die Aktivitäten könnten nicht nur wirtschaftlichen Schaden anrichten, sondern unter Umständen sogar Leben gefährden.

Interessierte erhalten ausführliche Informationen zu den ICS-Angriffen im Forschungsbericht (PDF, 1 MB). Ein zusätzliches Whitepaper von Trend Micro beschreibt die Maßnahmen für mehr Sicherheit bei ICS-Systemen (PDF, 1,4 MB).

(ID:38680390)