Free

Microsoft warnt vor Cyberangriffen auf OT-Geräte im Internet

Seit Ende 2023 hat Microsoft eine dramatische Zunahme von Cyberangriffen auf OT-Geräte (Operational Technology) beobachtet. Angesichts dieser Bedrohungslage hat das Unternehmen die dringende Notwendigkeit betont, OT-Geräte verstärkt zu sichern und entsprechende Schutzmaßnahmen zu implementieren.

Bedrohungen
Lesezeit 3 Min.

Das Microsoft Threat-Intelligence-Team betont die Wichtigkeit, die Sicherheit von OT-Geräten zu verbessern, um zu verhindern, dass sie leicht angegriffen werden können. Ein Angriff auf ein OT-System könnte dazu führen, dass böswillige Akteure kritische Parameter manipulieren, die in industriellen Prozessen über speicherprogrammierbare Steuerungen (SPS) oder die grafische Mensch-Maschine-Schnittstelle (HMI) verwendet werden. Nicht selten führt das zu Systemausfällen. Da OT-Systeme oft nicht ausreichend geschützt sind, sind sie anfällig für einfache Angriffe und können als Einfallstor genutzt werden, wenn zum Beispiel schwache Passwörter oder veraltete Software verwendet werden.

Kürzlich hat Rockwell Automation seinen Kunden geraten, alle industriellen Steuerungssysteme (ICS), die nicht mit dem öffentlichen Internet verbunden werden sollen, aufgrund der „erhöhten geopolitischen Spannungen und feindlichen Cyber-Aktivitäten weltweit“ abzuschalten.

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat ebenfalls ein Bulletin veröffentlicht, in dem vor pro-russischen Hackern gewarnt wird, die anfällige industrielle Kontrollsysteme in Nordamerika und Europa ins Visier nehmen. Laut der Behörde haben pro-russische Hacker konkret die Anzeigegeräte für menschliche Eingriffe (HMIs) manipuliert, um Wasserpumpen und Lüftungsanlagen außerhalb ihrer normalen Betriebsbereiche zu steuern. Dabei haben sie Sollwerte überschritten, verschiedene Einstellungen geändert, Alarmmechanismen deaktiviert und administrative Passwörter geändert, um die Betreiber auszusperren.

Microsoft hat festgestellt, dass der Ausbruch des Krieges zwischen Israel und der Hamas im Oktober 2023 zu einem Anstieg von Cyberangriffen auf ungeschützte OT-Anlagen israelischer Unternehmen geführt hat. Diese Angriffe wurden von Gruppen wie Cyber Av3ngers, Soldiers of Solomon und Abnaa Al-Saada durchgeführt, die Verbindungen zum Iran haben. Die entsprechenden OT-Geräte sind „hauptsächlich internetverbundene OT-Systeme mit schlechten Sicherheitsmechanismen, oft mit schwachen Passwörtern und bekannten Schwachstellen“, fügte der Technologiekonzern hinzu.

Um das Risiko solcher Bedrohungen zu verringern, wird empfohlen, dass Unternehmen die Sicherheit ihrer OT-Systeme verbessern, indem sie die Angriffsfläche reduzieren und Zero-Trust-Mechanismen implementieren, um seitliche Bewegungen von Angreifern innerhalb eines kompromittierten Netzwerks zu verhindern.

Weitere Angriffe auf OT-Systeme

Das OT-Sicherheitsunternehmen Claroty hatte zudem eine zerstörerische Malware entdeckt, die als Fuxnet bekannt ist. Die Hackergruppe Blackjack, die vermutlich von der Ukraine unterstützt wird, soll diese Malware gegen Moscollector eingesetzt haben. Das ist ein russisches Unternehmen, das ein großes Netzwerk von Sensoren zur Überwachung der unterirdischen Wasser- und Abwassersysteme in Moskau betreibt, um Notfälle zu erkennen und darauf zu reagieren.

BlackJack veröffentlichte Anfang des letzten Monats Details des Angriffs und beschrieb Fuxnet als „Stuxnet auf Steroiden“. Claroty wies darauf hin, dass die Malware wahrscheinlich über Protokolle wie SSH oder das Sensorprotokoll (SBK) über Port 4321 aus der Ferne auf die Zielsensor-Gateways aufgespielt wurde.

Fuxnet ist in der Lage, das Dateisystem unwiderruflich zu zerstören, den Zugriff auf das Gerät zu blockieren und die NAND-Speicherchips auf dem Gerät physisch unbrauchbar zu machen. Für letzteres wird der Speicher kontinuierlich solange beschrieben und überschrieben, bis er funktionsunfähig ist. Zusätzlich wird das UBI-Volume neu beschrieben, um den Neustart des Sensors zu verhindern, und die Sensoren werden durch eine Flut gefälschter M-Bus-Meldungen beschädigt.

„Die Angreifer entwickelten Malware, die auf die Gateways abzielte, Dateisysteme und Verzeichnisse löschte, Fernzugriffsdienste und Routing-Dienste deaktivierte, den Flash-Speicher neu beschrieb, NAND-Speicherchips und UBI-Volumes zerstörte und weitere Störungen verursachte“, berichtet Claroty.

Laut Kaspersky sind das Internet, E-Mail-Clients und Wechseldatenträger im ersten Quartal 2024 die Hauptquellen für Bedrohungen in der OT-Infrastruktur von Unternehmen. „Böswillige Akteure nutzen Skripte für verschiedene Zwecke: Informationssammlung, Verfolgung, Umleitung des Browsers auf bösartige Websites und das Hochladen von Malware (Spyware oder Krypto-Mining-Tools) auf das System oder den Browser des Nutzers“, so Kaspersky. „Diese Bedrohungen verbreiten sich über das Internet und per E-Mail.“

Diesen Beitrag teilen: