ICS Cyber Kill Chain
Die umfangreichen Cyber-Angriffe bei Öl- und Gasunternehmen haben gezeigt, dass diese Attacken keineswegs nur ein einmaliges Szenario sind. Es bedarf vielmehr eines theoretischen Ansatzes, um die Struktur eines Cyber-Angriffs genauer zu verstehen. Historisch gesehen gibt es ein breites Spektrum von Cyber-Angriffen auf Öl- und Gasunternehmen:
- 2012 – Shamoon-Angriff, bei dem mehr als 10.000 Server beschädigt wurden
- 2017 – Triton-Malware-Angriff auf ein Öl- und Gasunternehmen in Saudi-Arabien, bei dem die Angreifer eine Malware einschleusten, die die Sicherheitssysteme des Werks nachteilig beeinflusste
- 2019 – Ransomware-Angriff auf ein mexikanisches Öl- und Gasunternehmen
- u.v.m.
Cyber-Angriffe auf Öl- und Gasunternehmen werden allgegenwärtiger und kritischer. Im Laufe der Jahre haben die Cyber-Angriffe zugenommen – heute mehr denn je. Seit fast einem Jahrzehnt sind die Öl- und Gasunternehmen zur Zielscheibe von Gegnern geworden. Die Malware-Angriffe von 2012 bis heute haben gezeigt, dass die Technologien und Werkzeuge, die zu ihrer Ausführung eingesetzt werden, erheblich zugenommen haben. Angefangen von einem einfachen Malware-Programm bis hin zu APTs (Advanced Persistent Threats).
Aufschlüsselung eines Cyber-Angriffs
Auch wenn die im Laufe der Jahre verwendete Malware unterschiedlich ist, bleiben die Stadien eines Cyber-Angriffs konsistent. Die Aufschlüsselung eines Cyber-Angriffs kann mit der von Lockheed Martin entwickelten Cyber Kill Chain® durchgeführt werden. Sie wurde von Michael J. Assante und Robert M. Lee an die ICS-Umgebung angepasst. Die Cyber Kill Chain hilft dabei, die Schritte zu verstehen, zu visualisieren und zu koordinieren, die ein Gegner unternehmen muss, um seine Ziele zu erreichen. Lassen Sie uns daher gemeinsam durch die Phasen eines Cyber-Angriffs gehen.
Planung und Vorbereitung des Angriffs
Der Angreifer wählt das Opfer (Organisation, Netzwerk, PC) auf der Grundlage seiner vordefinierten Ziele, der erwarteten Entlohnungen oder nach den Anweisungen desjenigen, der diese Aktion leitet, aus. Ein Cyber-Angriff kann auch von einem Insider, der einen Grund hat, einem verärgerten Mitarbeiter oder einem fachkundigen Hacker, der von einem fremden Land, einer kriminellen Organisation oder einer feindlichen kommerziellen Organisation gesteuert wird, initiiert werden. Der Angreifer kann mit einem Phishing-Prozess beginnen, der auf eine Person abzielt, die mit Personen korrespondiert, die in der Organisation des Opfers arbeiten. Sie senden E-Mails von einer gefälschten Identität zusammen mit Malware, die in einer angehängten Datei (Word, JPG-Datei usw.) versteckt ist. Diese Aktion führt dazu, dass ein Trojanercode auf dem Computer des Opfers (der zuerst angesprochen wurde) und später im IT-Netz gestartet wird.
Cyber-Angriff – Versuch/Erfolg
Nach Aktivierung des eingeschleusten Codes zur Erfassung von Netzwerkdetails überprüft die Malware das IT-Netzwerk des Opfers und aller zugänglichen Computer. Mit diesem Tool erhält der Angreifer ständig detaillierte Informationen und baut sich ein klares Bild vom Netzwerk des Opfers, von Benutzernamen, Passwörtern, IP-Adressen, Verbindungen zu drahtlosen Geräten,usw. auf. Sobald er Zugang zum Netzwerk des Opfers erhält, kann er die Identität eines Netzwerkadministrators fälschen, ein eigenes Konto eröffnen und mit der Nutzung seiner neuen E-Mail beginnen. Unter Verwendung eines autorisierten Kontos (wie ein gewöhnlicher Angestellter) und nachdem er die Zugangsdaten des Administratorkontos erfahren hat, kann der Angreifer nun sein eigenes “Benutzerkonto” aktualisieren und zusätzliche Privilegien anfordern, die ein normaler Benutzer (Angestellter) nicht hat. Dies kann es ihm ermöglichen, Sicherheitsverfahren wie “geringste Privilegien” und “rollenbasierten Zugriff” zu erhalten.
Durch diese “autorisierte Mitgliedschaft” verfügt der Angreifer nun über die erforderlichen Privilegien, um die Firewall zu kompromittieren, die das IT-Netzwerk und das externe Internet isoliert. Dies ermöglicht es ihnen, Befehlscodes zwischen dem (von Hackern betriebenen) angreifenden Computer, der über das Internet mit dem IT-Netz des Opfers verbunden ist, zu übertragen. Der Angreifer erhält nun detaillierte Informationen über die PLCs, Remote Terminal Units (RTU), verwendeten Datenprotokolle und IP-Adressen der Steuergeräte (PLC, RTU), wie sie im IT-Netzwerk des Unternehmens zugänglich sind. Nach der “autorisierten Anwesenheit” kann der Angreifer mit der Planung der nächsten Schritte des Angriffsprozesses beginnen. In diesem Stadium kann der Angreifer langsam mehr Daten über die Systemarchitektur sammeln, Prozesse, die als normal angesehen werden, wie sie durch das IT-Unternehmensnetzwerk gesehen werden. Darüber hinaus kann der Angreifer, um seine Aktivität zu verbergen, die Erkennung seiner Aktionen innerhalb des Netzwerks des Opfers verhindern. Er wird versuchen, seine eigene Identität zu verbergen und alle “rückverfolgbaren Details” zu löschen.
Sobald der Angreifer über ausreichende Details über das IT-Netzwerk verfügt und die erforderlichen Berechtigungsnachweise erhalten hat, kann er ein Konto mit hohen Berechtigungen (“admin”) einrichten. Dies ermöglicht ihm den Zugriff auf die trennende Firewall zwischen dem IT- und dem ICS-Netz und gefährdet zusätzliche Sicherheitsmaßnahmen, die den Zugriff auf das ICS-Netz verhindern könnten.
Verwaltung und Befähigung
Der Angreifer beginnt mit der letzten Phase und enthüllt die trennende Firewall zwischen der Unternehmens-IT und den ICS-Netzwerken. Sobald diese Barriere beseitigt ist, kann der Angreifer direkt mit dem ICS-Netzwerk kommunizieren und Daten “exportieren” (über das Unternehmensnetzwerk und das Internet), wie es für die detaillierte Planung des Angriffsprozesses erforderlich ist. Der Angreifer kann direkt auf alle RTUs oder PLCs zugreifen und die Details des Steuerungsprozesses studieren; Temperatur, Geschwindigkeit, Druck, Vibration, Strömung usw., und auch die an die ICS-Automatisierungsserver und den HMI-Computer gesendeten Daten analysieren. Diese Informationen helfen dem Angreifer, ein “falsches Bild” des normalen Betriebs zu erstellen und dieses “Bild” während des Angriffs an die HMI des Bedieners zu übertragen (ähnlich wie bei Stuxnet).
Aufrechterhaltung, Verankerung, Entwicklung und Durchführung
Der Angreifer wird die Betriebsparameter der RTUs oder PLCs ändern, die Regelgrenzen und Regelkreise modifizieren, den softwarebasierten Schutz beeinträchtigen und somit den Schaden verursachen. Während der Angreifer das falsche Bild an die HMI des Bedieners überträgt (das zuvor aufgezeichnet und gespeichert wurde) und normale Bedingungen anzeigt, führt er die Aufgabe zu Ende und zerstört die kritischen Maschinen.
Die theoretische Herangehensweise an einen Cyber-Angriff hilft Experten, die Merkmale des Angriffs zu verstehen, was eine wertvolle Wissensbasis sein kann, um solche Angriffe in Zukunft zu verhindern. In jeder Phase des Cyber-Angriffs wird eine Gegenmaßnahme gebrochen oder es ist eine spezifische Gegenmaßnahme erforderlich, um ihn zu stoppen. Die Dynamik eines Cyber-Angriffs kann sich von einem Szenario zum anderen ändern, aber die einzelnen Phasen eines Cyber-Angriffs bleiben durchgehend konsistent. Doch wie hilft es Cyber Security-Unternehmen und -organisationen, Gegenmaßnahmen gegen solche Angriffe zu entwerfen und zu entwickeln? Seien Sie gespannt auf Teil 2 des Artikels!
