:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Analyse des SANS Institute Wie lief der Angriff auf das Stromnetz der Ukraine?
Der Stromausfall in der Ukraine ist zweifelsohne auf eine gezielte, koordinierte Cyber-Attacke zurückzuführen. Doch wie sind die Angreifer genau vorgegangen? Dieser Beitrag erläutert die belegbaren Umstände.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Am 23. Dezember 2015 kam es im westlichen Teil der Ukraine, genau gesagt bei Ivano-Frankivisk Oblast in der Nähe der moldawischen Grenze, zu einem Stromausfall. Aufgrund von Berichten russischer und ukrainischer Medien sowie unserer eigenen Analyse können wir mit großer Gewissheit sagen, dass der Stromausfall das Ergebnis eines koordinierten gezielten Angriffs war.
Durch die Kombination von Malware und direktem Fernzugriff scheinen die Angreifer die Kraftwerkseinsatzplanung getäuscht und unerwünschte Statusänderungen der Infrastruktur zur Verteilung der Energie herbeigeführt zu haben. Darüber hinaus scheinen sie Einträge auf SCADA-Servern gelöscht zu haben, nach sie den Stromausfall ausgelöst hatten.
Was wir bis heute wissen
Basierend auf den Verlautbarungen der Medien und den Betreibern bestand der Angriff aus drei Teilen: der Malware, dem DoS-Angriff (Denial-of-Service) auf die Telefonanlage, um Support-Dienste zu blockieren) – und dem bisher fehlenden Hinweis auf das, was den Stromausfall tatsächlich verursacht hat.
Eventuell wurde die Unterbrechung der Energieversorgung durch eine Malware ermöglicht. Möglicherweise war sie direkt in die Abschaltung involviert, wie wir nachher noch sehen werden. In jedem Fall hatte der Schadcode aber zwei ganz bestimmte Aufgaben: den Kraftwerkseinsatzplanern die Übersicht zu nehmen und Kundenanrufe beim Support unmöglich zu machen.
Wir gehen davon aus, dass es koordinierte Attacken auf verschiedene lokale Stromverteilungsunternehmen gegeben hat. Eine davon, Kyivoblenergo genannt, hatte veröffentlicht, dass durch ein unautorisiertes Eindringen in sieben Umspannwerke mit 110 Kilovolt und 23 Umspannwerke mit 35 Kilovolt ein Stromausfall für 80.000 Verbraucher in der Region entstanden ist. Das gleiche Energieunternehmen hat erklärt, dass sie technische Probleme mit ihrem Support-Telefon hatten.
Die zuständigen Mitarbeiter des Betreibers mussten selbst Hand anlegen, da das SCADA-System immer noch betroffen war. Sie haben einen großartigen Job gemacht und das System manuell wiederhergestellt, ohne Hilfe eines automatischen Verteilungszentrums.
War die gefundene Malware direkt involviert?
Von einer dritten vertrauenswürdigen Instanz haben wir ein Sample der Malware erhalten und analysiert, die in den beeinträchtigten Netzwerken gefunden wurde. Wir sind immer noch unschlüssig, ob die Schadsoftware direkt für den Angriff genutzt wurde. Es gibt Belege, die das nahelegen, aber es ist zu früh, um hier eine abschließende Aussage zu treffen.
Die Malware ist eine ausführbare Datei (Executable) für 32-Bit-Windows-Systeme und modular aufgebaut. Letzteres macht die Analyse sehr komplex. Es scheint, dass die Angreifer Schritte unternommen haben, um einige auffallend verdächtige APIs zu verschleiern.
Die Schadsoftware hat nicht alle Funktionen genutzt, die importiert wurden, und es gibt keine Querverweise für Service-verwandte Aufrufe, sondern lediglich Querverweise zu anderen dynamisch angeschlossenen APIs. Außerdem sieht es so aus, dass Teile des Programmiercodes von anderen Programmen abgekupfert wurden.
In der Community wurden Gerüchte verbreitet, dass der KillDisk Wiper involviert war. Eine Theorie ist, dass sich die Malware zwar im Netzwerk befand, aber nicht aktiviert wurde. Die andere ist, dass sie direkt involviert war.
Wir haben eine dritte Theorie, in der wir annehmen, dass die Malware den Angriff erst ermöglicht hat, aber nicht der Auslöser für den Stromausfall war. Derzeit gehen wir davon aus, dass die Malware außerdem dafür genutzt wurde, Dateien zu löschen, die wiederum dafür genutzt wurden, die Wiederherstellung des SCADA-Systems zu blockieren. Damit sollten die Auswirkungen des Angriffs verstärkt und die Wiederherstellung aufgehalten werden.
Was Teile der Community zum Angriff sagen
Es scheint, basierend auf weiteren Berichten, dass die Angriffe mit einer Spear-Phishing E-Mail ausgelöst wurden. Die E-Mail scheint einen Absender aus dem ukrainischen Parlament imitiert zu haben und es gab ein gefälschtes Word-Dokument, das den Empfänger dazu bewegt hat, es zu öffnen.
Die Opfer wurden per Social Engineering ausgespäht, so dass man die Angriffe als gezielt bezeichnen könnte. Die einmal installierte Malware hat weitere Malware mit einer Funktion heruntergeladen, um den ausgeführten Code danach zu löschen (KillDisk). Diese Funktion, Wiper genannt, erschwert die spätere forensische Analyse.
Es scheint außerdem, dass durch diese Funktion die grundlegenden Module, die das Herz des Angriffs darstellten, gelöscht wurden. Das sind die derzeitigen Annahmen der Community und nicht unsere, wir haben diese Annahmen lediglich aufgeführt, um sie zusammenzufassen.
Unsere Sicht auf die Umstände des Angriffs
Wie bereits zuvor festgestellt, gibt es keinen Hinweis, dass bösartige Dokumente wie Word oder Excel von der BlackEnergy- oder Sandworm-Kampagne eine Rolle in dem Vorfall gespielt haben. BlackEnergy, speziell BlackEnergy3, wurde aus dem betroffenen Netzwerk wiederhergestellt, deshalb war das Sandworm-Team in dieser Umgebung aktiv.
Wie auch immer, ob sie eine Rolle in dem Angriff gespielt haben oder nicht, das muss immer noch abschließend festgestellt werden. Unsere Haupttheorie besagt, dass die Malware dafür genutzt wurde, dem Angreifer Zugang zur Umgebung zu verschaffen. Mit dem Zugang sollte er seine Attacke mit direktem Fernzugriff auf die Systeme ausführen.
Dies könnte durch das Öffnen und Schließen von Schaltern erfolgt sein, allerdings braucht es hier noch weitere forensische Ergebnisse, um es zu beweisen. Die Malware hat darüber hinaus vermutlich die arbeitenden SCADA-Systeme, eine Vielzahl an Arbeitsstationen und Server infiziert. Wir gehen davon aus, dass der Angreifer die Malware auch genutzt hat, um die Kraftwerkseinsatzplanung zu täuschen und die SCADA-System-Hosts zu zerstören (Workstations und Server).
Ein DoS flutete das Call Center, um Verbrauchern die Möglichkeit zu nehmen, den Stromausfall zu melden. Im Wesentlichen haben die Angreifer – wie es aussieht den – Schaden per Remote-Zugriff ausgelöst und die Malware dafür genutzt, um sich Zugriff zu verschaffen. Weitere Malware wurde für einen DoS genutzt, um das Betriebspersonal zu täuschen.
Fazit
Es gibt immer noch keinen Hinweis, dass die Angreifer von einer regierungsnahen oder politischen Organisation stammen. Nach unseren Recherchen und denen der Community, scheint es so, dass es eine Cyber-Attacke war. Demnach hätten wir den dritten erfolgreichen Cyber-Angriff auf Industriekontrollsysteme (ICS) seit Stuxnet und dem Angriff auf das Stahlwerk in Deutschland.
Das ukrainische Betreiberpersonal hat gut reagiert und die Energieversorgung schnell wiederhergestellt, ohne die SCADA-DMS-Systeme nutzen zu können. Nichtsdestoweniger sollten sich Energieversorgungs-unternehmen vorbereiten und Maßnahmen ergreifen, um ihre Netzwerk und im besonderen ihre Übertragungs- und Verteilungssysteme sowie Anlagen zu sichern.
Die koordinierten Cyber-Attacken zeigen uns, dass sie aus verschiedenen Elementen bestanden und dass sie zielgerichtet sowie sehr gut voraus geplant waren. Betreiber kritischer Infrastrukturen müssen lernen, wie man solche Vorfälle entdeckt, auf diese reagiert und die ausgefallen Systeme wieder zurückgewinnt. Unser Team wird die von der Community verfügbar gemachten Ressourcen weiter auswerten, um unser Verständnis dieser Angriffe zu erweitern und entsprechende Abwehrstrategien zu entwickeln.
Eine Möglichkeit dies zu tun, ist eine Monitoring-Strategie aufzusetzen, um Vorgänge im Netzwerk zu untersuchen. Darüber hinaus empfehlen wir Trainings für die Sicherheitsverantwortlichen, um im Falle eines Angriffs erste Analysen und schnelle Gegenmaßnahmen selbst ergreifen zu können. Darüber hinaus sollten sie auf die möglichen Folgen des Angriffs vorbereitet sein. Ein Beispiel für ein solches Training ist der SANS-Kurs ICS515.
Wir werden weitere Informationen auf dem SANS ICS Summit in den USA veröffentlichen, darunter einen kompletten Abriss, was wir derzeit wissen und welche Erkenntnis das für die Community bedeutet. Letztlich braucht es jedoch die Mithilfe aller, um solche Vorfälle aufzuklären, umfassend zu verstehen und effektive Strategien zu deren Abwehr zu entwickeln.
* Robert M. Lee ist Trainer für ICS515 am SANS Institute.
(ID:43840384)
:quality(80)/images.vogel.de/vogelonline/bdb/1964600/1964608/original.jpg "Im internationalen Vergleich mussten deutsche Unternehmen am meisten im Kampf gegen Cyberkriminalität ausgeben, ergab eine Analyse des Versicherers Hiscox. (photoschmidt - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944848/original.jpg "Oliver Hanka ist Director EMEA Industrial & IoT Security bei PwC Deutschland. (PwC Deutschland)")