ICS-Schwachstellen: Die letzten zehn Jahre

Originalartikel von Trend Micro

MITRE entdeckt jedes Jahr neue Schwachstellen und registriert sie unter einer CVE-ID (Common Vulnerabilities and Exposures). Die Details dazu werden aufgezeichnet, und Spezialisten geben unter der jeweiligen CVE-ID auch an, wie die Schwachstellen beseitigt werden können. Von Schwachstellen, die industrielle Steuerungssystemumgebungen (ICS) betreffen, erfährt die Öffentlichkeit durch Advisories des Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). Wir haben ICS-Schwachstellen mit Hilfe von MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) eingehend untersucht.

Unserer Meinung nach ist ATT&CK das beste vorhandene Framework für die Analyse von Cyberangriffen bezüglich deren Fähigkeiten, Tools, Zielen und möglichen Auswirkungen, weil es auf realen Beobachtungen der Methoden von Cyberangreifern baut. Darüber hinaus haben wir das Purdue-Modell für unsere Untersuchungen herangezogen, da es eine betriebliche Technologieumgebung in Schichten abbildet, die zur Darstellung der potenziellen Auswirkungen verwendet werden können.

Das ICS-CERT veröffentlicht immer dann Advisories, wenn eine ICS-Schwachstelle bekannt wird, die Angreifer ausnutzen könnten, um Schaden anzurichten, und die meisten ICS-CERT-Advisories enthalten mehrere miteinander verbundene Schwachstellen. 2021 wurden 389 ICS-CERT-Advisories publiziert, das sind über 100 mehr als 2020 (249 Advisories), der größte Zuwachs im Jahresvergleich in der Geschichte des Programms. Die ständig wachsende Zahl von CVEs für ICS-Umgebungen zeigt, dass es nahezu unmöglich ist, jede einzelne Schwachstelle umfassend zu behandeln.

Bild 1. ICS Cyber Threat von 2010 bis 2020

2010 kam es zu dem berüchtigten Stuxnet-Angriff. Dies war der Beweis für die Realisierbarkeit von groß angelegten Cyberangriffen auf ICS. Die in den ICS-CERT-Advisories identifizierten CVEs lassen den Schluss zu, dass es einen Zusammenhang zwischen den Jahren, in denen es größere ICS-Cyberbedrohungen gab, und der Anzahl der in den ICS-CERT-Advisories identifizierten CVEs gibt.

2017 war ein entscheidender Wendepunkt für auf ICS gerichtete Cyberangriffe. In dem Jahr verbreitete sich die auf der EternalBlue-Schwachstelle basierende Ransomware WannaCry und löste einen weitreichenden Cybervorfall aus.

Bild 2. CVEs in ICS-CERT Advisories nach Jahren

Von 2010 bis 2021 wurden in den Advisories des ICS-CERT insgesamt 4436 ICS-relevante CVEs identifiziert. Zwischen 2016 und 2017 (260 gegenüber 407) sowie zwischen 2019 und 2020 (522 gegenüber 687) sind deutliche Spitzen zu verzeichnen. Den größten Zuwachs von Jahr zu Jahr gab es jedoch von 2020 auf 2021 (687 auf 1255), als sich die Zahl der in ICS-CERT-Advisories identifizierten CVEs fast verdoppelte.

Als WannaCry im Mai 2017 aktiv wurde, gerieten Zehntausende von Systemen, auf denen nicht die neuesten Microsoft-Sicherheitspatches für die SMB-Lücke installiert waren, sofort in ihre Gewalt. Andere Formen von Ransomware, die folgten, nutzten ebenfalls die SMB-Protokollschwachstelle EternalBlue und Angriffe waren für Arbeitsplätze mit Legacy- und End of Support (EoS)-Systeme verheerend. Danach wurden industrielle Steuerungssysteme – die häufig Legacy- und End-of-Service-Versionen verwenden – in Mitleidenschaft gezogen.

Bild 3. CVEs, die 2021 in ICS-CERT-Advisories identifiziert wurden nach Mitwirkenden

Die Zahl der identifizierten CVEs stieg 2019-2021 sprunghaft an. Die Spitze 2020 mit 687 CVEs  (15,5 % aller seit 2010 in Advisories identifizierten Schwachstellen) steht höchstwahrscheinlich im Zusammenhang mit dem Ausbruch der COVID-19-Pandemie. Dafür könnte es zwei Gründe geben. Erstens führte die Pandemie zu einer raschen Verbreitung und Weiterentwicklung von Technologien für die Remote-Arbeit. Eine große Anzahl von Ressourcen wurde ins Internet verlagert. Zweitens hatten die Forscher im Lockdown viel mehr Zeit, sich der Forschung zu widmen und damit die ausgeschriebenen Bounties zu verdienen.

2021 veränderten sich die Methoden der Cyberangreifer erheblich. In diesem Jahr gab es auch mehr fortgeschrittene destruktive Angriffe auf die Supply Chain. Dies schuf ein angespanntes Umfeld, das Entwicklungen in der Cyberabwehr und die Entdeckung von ICS-bezogenen CVEs vorantrieb.

Der Überblick über die wichtigsten Cybervorfälle im Bereich OT und ICS 2021 zeigt, dass moderne kriminelle Geschäfte inzwischen so weit entwickelt sind, dass eine Dienstleistungsbranche mit einem gemeinsamen Geschäftsmodell entstanden ist – Ransomware-as-a-Service (RaaS).

Es gab erhebliche Änderungen in den Methoden der Betreiber von RaaS-Diensten, die eine anpassbare Plattform für Nutzer bereitstellten, die kriminelle Projekte durchführen wollten. Zu den bekannten, in letzter Zeit aktiven Ransomware-Gruppen gehören Maze, Lockbit, REvil und DarkSide, deren Aktivitätsniveau jedoch variieren kann.

Colonial Pipeline und die Kaseya-Angriffe

Mitte 2021 gerieten Revil und DarkSide in die Schusslinie der US-Regierung. Die Dienste der Gruppen wurden genutzt, um zwei der schwersten Ransomware-Angriffe des Jahres zu initiieren – die Colonial Pipeline- und Kaseya-Attacken auf die Supply Chain.

Der Colonial Pipeline-Vorfall geht auf die RaaS-Plattform von DarkSide zurück. Der Angriff auf Kaseya erfolgte über den Dienst von Revil, wobei die Zero-Day-Schwachstelle CVE-2021-30116.4 (Umgehung der Authentifizierung) ausgenutzt wurde. Als die Revil-Gruppe ein Lösegeld von 70 Millionen Dollar forderte, behauptete sie, über eine Million Geräte infiziert zu haben. Nach diesen beiden Angriffen wurde es sowohl um DarkSide als auch um Revil still, was wahrscheinlich auf die erhöhte Aufmerksamkeit von Regierungs- und Strafverfolgungsbehörden zurückzuführen ist, wobei Revil im Oktober 2021 erneut auftauchte.

Es ist jedoch zu erwarten, dass die Entwicklung von RaaS fortgesetzt wird, einschließlich neuer RaaS-Plattformen, die Funktionen der vorherigen Plattform integrieren. Die BlackMatter-Ransomware beispielsweise enthält Tools und Techniken der Darkside-, Revil- und LockBit 2.0-Ransomware-Familien. Wir vermuten, dass es sich bei BlackMatter um die DarkSide-Gruppe handelt, die ihre Aktivitäten unter einem anderen Namen wieder aufnimmt. Zuletzt, im Dezember 2021, sind Emotet und Conti wieder aufgetaucht und nutzen die Log4Shell-Schwachstelle, um ihre Ziele zu erreichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.