Malware in Smart Factories: Die wichtigsten Bedrohungen für Produktionsumgebungen

Originalbeitrag von Matsukawa Bakuei, Ryan Flores, Vladimir Kropotov, Fyodor Yarochkin, Threat Researchers


Die Einführung von cyber-physischen Systemen (CPS) in der Produktion – bekannt als Industrie 4.0 — typischerweise in so genannten Smart Factories ist nur eine der Möglichkeiten, wie Prozesse im Industrial Internet of Things (IIoT) verbessert und effizienter werden. Einerseits verändern sich die Produktionsprozesse, wenn Fabriksysteme miteinander und mit Unternehmensnetzwerken verbunden werden, doch andererseits zwingt diese neue Ära der Konnektivität Anwender, ihre Sicherheitsstrategien für die Zusammenführung von Informationstechnologie, Operational Technologie (OT) und geistigem Eigentum (Intellectual Property, IP) zu überdenken. Je mehr Geräte und Systeme im Produktionsnetzwerk miteinander verbunden werden, desto mehr Eintrittspunkte für Angriffe entstehen. Der Artikel zeigt die wichtigsten Malware-Erkennungen in Produktionsnetzwerken, basierend auf Daten aus der Trend Micro™ Smart Protection Network™-Infrastruktur, stellt die häufigsten Sicherheitsbedrohungen für die Fertigungsindustrie vor und gibt Empfehlungen, wie die Cybersicherheit verbessert werden kann.

Angriffe gegen IT-Netzwerke

Bild 1. Erkennungsraten von autorun.inf über Branchen hinweg (Daten aus dem Trend Micro™ Smart Protection Network™ von Juli bis Dezember 2018)

Die Fertigung weist von allen Branchen die höchsten Erkennungsraten von autorun.inf auf. Downad (oder Conficker) und andere USB-Würmer missbrauchen autorun.inf, indem sie immer dann ausgeführt werden, wenn ein infiziertes USB-Gerät angeschlossen wird. Dies gibt Anlass zur Sorge angesichts der häufigen Nutzung von USB-Laufwerken für die Übertragung von Informationen zwischen den IT- und OT-Netzwerken. So wurde die berüchtigte Stuxnet-Schadsoftware, die auf nukleare Einrichtungen ausgerichtet war, über USB-Medien verbreitet (wobei der Schädling selbst eine Sicherheitslücke beim Parsen von Shortcut-Dateien ausnutzte).

Vorfälle wie der mit Stuxnet zeigen, dass Angriffe sowohl unwissentlich von Mitarbeitern mit infizierten externen Geräten als auch von Akteuren mit bösartigen Absichten vorsätzlich durchgeführt werden können. Angriffe starten eventuell in Unternehmensnetzwerken, aber die Auswirkungen können sich auf die Steuerungssysteme selbst ausweiten.

Ein Beispiel dafür, wie IT-Unternehmensnetze anvisiert werden, um Produktionsstätten zu treffen, ist ein Ransomware-Angriff auf einen Aluminiumhersteller, infolge dessen das Unternehmen gezwungen war, auf manuellen Betrieb zurückzugreifen. Am besten in Erinnerung aber bleibt wahrscheinlich WannaCry mit seiner rapiden Ausbreitung und den verheerenden Auswirkungen auf Unternehmenssysteme. Die Malware traf auch Industrial Control Systems (ICSs), indem sie Computer infizierte, die IC-Software verwalteten. Die Malware ist besonders gefährlich, weil sie einen Fehler im Server Message Block (SMB)-Protokoll in Windows für die Verbreitung nutzt und keine direkte Interaktion mit dem Nutzer benötigt.

Einige Industriesysteme könnten das SMB-Protokoll für die Kommunikation einsetzen und unter Umständen von EternalBlue betroffen sein, dem Exploit, der besagte SMB-Lücke nutzt. Fehlende Patches auf Maschinen — besonders häufig auf OT-Systemen, wo Patching sich schwierig gestaltet — haben günstige Bedingungen für die Ausbreitung im Netz geschaffen.

Sicherheit für ICSs und IP Assets

Leider sind nicht alle ICS für Konnektivität ausgelegt und gegen heutige Bedrohungen gefeit. Es gestaltet sich unter Umständen schwierig, Hardware und Protokolle zu integrieren, und Sicherheitskontrollmechanismen sind nicht immer enthalten oder müssen für ältere Produktionssysteme nachgerüstet werden.

Bild 2. Exponierter Monitor mit seinen Angaben zu Temperatur und Geschwindigkeit

ICS sind keineswegs von Malware ausgeschlossen. 2017 startete Trisis den ersten Angriff auf sicherheitsrelevante Systeme. Das Ziel waren die Triconex Safety Instrumented System-Lösungen von Schneider Electric, die in der Energiewirtschaft des Mittleren Ostens weit verbreitet sind. Der Angriff führte zur Abschaltung des von der Malware betroffenen Werks.

Ein Einbruch in ein Produktionsnetzwerk kann sich auch auf proprietäre Informationen wie Copyrights, Patente, Marken und Betriebsgeheimnisse auswirken. Computer-Aided Design (CAD) oder Dokumente, die digitale Blaupausen von Produkten oder technische Daten enthalten, könnten dabei in die Hände der Angreifer fallen.

Bild 3. Bösartige CAD-Dateierkennung über Branchen hinweg (Daten aus der Trend Micro Smart Protection Network-Infrastruktur aus Oktober bis Dezember 2018)

Es stellte sich heraus, dass in der Fertigung die meisten bösartigen CAD-Dateien gefunden wurden. Angreifer können Trojaner in CAD-Dateien einschleusen, indem sie die Visual Basic for Applications (VBA)- Funktion AutoLISP in AutoCAD ausnutzen. Nur schlecht gesicherte Dateien lassen sich für Industriespionage einsetzen, für den Diebstahl von Design-Daten und die Herstellung von Fälschungen.

Bild 4. Sites mit geleakten CAD-Dateien

Sichern von Produktionsnetzwerken und vernetzten Umgebungen

Sicherheit in Zeiten von Industrie 4.0 erfordert eine Zusammenarbeit über alle Komponenten der IT, OT und IP hinweg und muss physische und digitale Werte umfassen.

Die folgenden Sicherheitsmaßnahmen empfehlen sich für Fertigungsorganisationen:

  • Auditieren von neuem und vorhandenem Equipment. IT-Administratoren sollten mit den Betriebsingenieuren zusammenarbeiten, um zu verstehen und zu überwachen, welche Informationen in jedem Netzwerk ausgetauscht werden. Dies ist eine Grundvoraussetzung für die Zusammenführung von IT-, OT- und IP-Sicherheit und für den Überblick darüber sowie für effizientes Incident Response im Fall eines Angriffs.
  • Schulen von Mitarbeitern zu Sicherheitsprotokollen. Genauso wie in IT-Umgebungen können Mitarbeiter auch für OT-Netzwerksicherheit zum Risiko werden. Sie müssen zu den Gefahren durch Social Engineering-Taktiken oder riskanten Verhalten beim Informationsaustausch geschult werden.
  • Beschränken von Domänen oder Unternetzwerken. Maschinen, die miteinander kommunizieren müssen restriktiv aufgesetzt sein, um zwischen Unternehmens- und Produktionsmaschinen ein gewisses Level an Isolation und Kontrolle zu erhalten. Es muss klar sein, welche Computer im IT-Netzwerk auf Produktionsmaschinen zugreifen dürfen.

Weitere Einzelheiten zum Thema liefert das Whitepaper „Securing Smart Factories: Threats to Manufacturing Environments in the Era of Industry 4.0”.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.