SCADA-Systeme werden tatsächlich angegriffen: ein Beweis

Originalartikel von Kyle Wilhoit, Senior Threat Researcher

 

Trotz bekannt gewordener Angriffe auf SCADA-Geräte sind viele immer noch aus dem Internet zugänglich und damit angreifbar. Auch sind die Sicherheitsvorkehrungen dafür zu schwach, und daher bieten sie perfekte Ziele für Angriffe. Kürzlich erregte ein Online-Beitrag Aufmerksamkeit , der über Schwächen von Monitoring-Systemen für dem Internet zugängliche Zapfsäulen an US-Tankstellen berichtete.



Bild 1. Webserver einiger Monitoring-Systeme für Zapfsäulen

Gemeinsame Nachforschungen des Trend Micro-Teams und des unabhängigen Bedrohungsforschers Stephen Hilt gingen der Frage nach, ob Angreifer aktiv versuchen, diese über das Internet erreichbaren Monitoring-Systeme zu kompromittieren.

Hintergründe

Das Guardian AST Monitoring-System ist ein Gerät, mit dem Vorrat, Zapf-Level und andere Werte der Zapfsysteme in Tankstellen überwacht werden. Das Zapfsystem unterstützt eine Vielfalt an Produkten und Datenpunkten, die im Gerät zu überwachen sind, und die häufig über das Internet zugänglich sind. Die Systeme werden üblicherweise Online eingesetzt, der einfacheren Fernüberwachung und –verwaltung wegen.

Die Monitoring-Geräte unterstützen sechsstellige PINs für einen sicheren Zugriff darauf.



Bild 2. Liste der Produkte, die vom Guardian Pump Monitoring System überwacht werden

Für ihre Suche nach „geeigneten“ Zapfsäulen nutzen Angreifer eine ganze Reihe Tools und Techniken. Ein solches Werkzeug ist ziemlich bekannt, nämlich die Site Shodan, eine “Suchmaschine für mit dem Internet verbundenen Geräten“. Abfragen in Shodan zeigen eine Fülle an Datenpunkten, einschließlich Tankname, Befehl, Füllhöhe, Wasser und Temperatur im Tank.



Bild 3. Beispiel von Shodan-Ergebnissen für ein Pumpen-Monitoring-System

Des weiteren nutzen Angreifer Nmap, ein bekanntes Port-Scanning Tool für Port 10001.

Die Zahlen aus Shodan sind alarmierend: Derzeit gibt es weltweit mehr als 1.515 Zapfsäulen-Monitoring-Geräte, die über das Internet zugänglich sind – und allen fehlt es an Sicherheitsmaßnahmen, die einen nicht autorisierten Zugriff verhindern könnten.


Bild 4. Anteil der im Internet exponierten Zapfsäulen-Monitoring-Systeme nach Ländern

Die Zahl der Angriffe auf SCADA-Systeme hat sich dramatisch erhöht. Auch dafür lieferte Shodan die Beweise.



Bild 5. Möglicher Anonymous-Angriff auf eine Zapfsäule an einer US-Tankstelle

Es zeigte sich, dass ein Angreifer eine der Monitoring-Systeme in den USA geändert hatte. Das Zapfsäulensystem hatte Zugang über das Internet und keine Sicherheitsmaßnahmen dagegen. Der Name der Zapfsäule war von „DIESEL“ auf “WE_ARE_LEGION” geändert worden. Die Gruppe Anonymous nutzt diesen Slogan häufig. Dies nährt die Annahme, dass diese Gruppe hinter dem Angriff steckt.

Ein Ausfall des Monitoring-Systems ist zwar keine Katastrophe, kann aber zu einem ernsten Datenverlust und Problemen mit der Lieferkette führen. Würde etwa ein auf das Volumen betreffender Wert als niedrig missinterpretiert, könnte ein Benzintanklaster beautragt werden, diesen Wert zu prüfen. Ein leerer Tank könnte auch als voll angezeigt werden, sodass die Tankstelle ohne Kraftstoff bleibt.

Fazit

Es wird heutzutage viel über die Probleme gesprochen, die ungesicherte persönliche IoT-Geräte verursachen können. Doch viel ernster ist das Problem der nicht sicheren SCADA-Geräte, denn Sicherheitslücken können zu kritischen Fehlern und Schaden führen.

Die Nachforschungen von Trend Micro zusammen mit Stephen Hilt haben zwei Ergebnisse gebracht. Zum einen ist da der Verdacht, dass ein Angriff möglicherweise auf das Konto der Gruppe Anonymous geht oder auf Personen, die behaupten, dazu zu gehören. Zum anderen aber hat die Recherche gezeigt, dass vom Internet aus zugängliche Geräte tatsächlich angegriffen werden. Diesmal war es lediglich eine Namensänderung, doch früher oder später werden es Ausfälle sein oder noch Schlimmeres. Es bleibt zu hoffen, dass durch die Aufmerksamkeit, die diesen Geräen entgegengebracht wird, das Sicherheitsbewusstsein der Betreiber besser wird und dadurch auch die entsprechenden Maßnahmen getroffen werden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.