Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? (Teil 2)
Autor: Kyle Wilhoit, Trend Micro Forward-Looking Threat Research Team
Trend Micro Forschungsbericht | Oktober 2013
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Inhaltsverzeichnis Einleitung................................................................................................................................................4 ICS gestern und heute...........................................................................................................................4 Weltweite SCADA-Installationen........................................................................................................5 ICS-Risiken und -Bedrohungen...........................................................................................................5 Öffentlich gemachte ICS-Angriffe .....................................................................................................6 Herkömmliche Honeypot-Installationen...........................................................................................7 Ursprüngliche Honeypot-Installation.................................................................................................8 Neue Honeypot-Architektur................................................................................................................8 Neue Honeypot-Installation...............................................................................................................10 Auskundschaften des ICS-Geräts......................................................................................................12 Das Zuordnungs-Framework.............................................................................................................12 Angriffe.................................................................................................................................................14 Automatisierte Angriffe......................................................................................................................20 Interessanter Angriff in Japan...........................................................................................................20
2
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Interessante zielgerichtete Angriffe...................................................................................................21 Beweggründe für die Angriffe...........................................................................................................25 Schlussfolgerungen..............................................................................................................................26 Anhang...................................................................................................................................................28 Referenzen.............................................................................................................................................30
3
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Einleitung Der erste Teil des Forschungsberichts „Wer steckt tatsächlich hinter den Angriffen auf ICS- Ausrüstung?“ stellt ein Honeynet vor, das speziell zum Abfangen von Angriffen auf Industrial Control Systems (ICS) entwickelt wurde. Die im Bericht dargestellten Geräte hatten Verbindung zum Internet und enthielten Schwachstellen, die überall auf der Welt auf ICSGeräten vorhanden sind. 1
SCADA-Netzwerke (SCADA = Supervisory Control and Data Acquisition) sind Systeme und/ oder Netzwerke, die mit ICS kommunizieren und den Betreibern Daten für die Überwachung und auch Kontrollmöglichkeiten für das Prozessmanagement liefern. Mit steigender Automatisierung nimmt auch der Einsatz von ICS-/SCADA-Systemen zu. Dieser zweite Teil des Forschungsberichts zeigt auf, wer diese mit dem Internet verbundenen ICS-Geräte immer wieder angreift und auch welche Beweggründe dahinter stecken. Des Weiteren stellt das Papier eine robustere Honeynet-Architektur vor, die die Forscher während der vergangenen Monate entwickelt und ausgerollt haben. Der Bericht enthält nicht nur die Angriffsstatistiken, sondern beleuchtet auch die dabei eingesetzten Werkzeuge zur Zuordnung der Angriffe. Schließlich umfasst er noch eine tiefgehende Analyse der Hintermänner der Bedrohung einschließlich ihrer möglichen Gründe für die Angriffe.
ICS gestern und heute Während der vergangenen 30 Jahre wurden nahezu überall auf der Welt SCADA-Geräte mit verschiedenen Funktionen eingeführt. Ursprünglich dienten sie Versorgungsanwendungen, etwa für Stromleitungen oder Pumpstationen, die Daten über unsichere Verbindungen mit hoher Latenz sowie wechselnden Bandbreiten sammeln mussten. Diese SCADA-Installationen sind weltweit sehr erfolgreich, doch leiden sie alle unter einem wichtigen Manko – es fehlt die nötige Sicherheit. 2
Der heutige Stand der SCADA-Installationen unterscheidet sich kaum von früheren. Sie haben sich zwar technisch weiterentwickelt, doch die Informationssicherheit ist nicht besser geworden. Angefangen bei der Softwareentwicklung bis hin zur Einführung der Server spielt Informationssicherheit in SCADA-Umgebungen meist nur eine zweitrangige Rolle. Trotz einiger bekannt gewordener Sicherheitsvorfälle in Verbindung mit SCADA-Geräten hat sich in den vergangenen zehn Jahren bei deren Absicherung nicht viel geändert, obwohl die Zahl der Installationen erheblich steigt. Infolge der mangelhaften Sicherheit einerseits und der Weiterentwicklung der SCADA-Technologie andererseits haben sich die Sicherheitsrisiken mit weitreichenden Konsequenzen dramatisch erhöht.
1 �Kyle Wilhoit. (2013). “Wer steckt tatsächlich hinter Angriffen auf ICS-Ausrüstung?” http://www.trendmicro.de/media/wp/tm-wp-ics-scada-praxistestpumpstation-de.pdf 2 �Wikipedia. “Industrial Control System.” http:// en.wikipedia.org/wiki/Industrial_control_system.
4
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
SCADA-Installationen weltweit Unter den verschiedenen SCADA-Implementierungsarten bringt der Einsatz in der Cloud die größten Veränderungen mit sich. Es empfiehlt sich, die weltweit veröffentlichten sicherheitsbezogenen Überlegungen dazu zu lesen. Interessant sind auch die Branchen und Länder, in denen SCADA-Geräte im Einsatz sind. Beispielsweise nutzen in China häufig Fertigungsunternehmen SCADA-Geräte. In den USA wiederum finden sich diese Installationen vorwiegend in der Hausleittechnik und in der Fertigungsindustrie. In Japan schließlich werden sie vor allem in der Automobilindustrie eingesetzt. 3
Viele Länder sind dabei, Standards für die Sicherheit von SCADA-Umgebungen zu entwickeln und einzusetzen. In den USA hat beispielsweise das NIST (National Institute of Standards and Technology) Special Publication 800-82 und IEC 62443 veröffentlicht. Japan mit seiner starken Automobilindustrie hält sich an den Standard IEC 62443. Die Information Technology Promotion Agency (IPA) in Japan implementiert gerade das Embedded Device Security Assurance Certification Program und stellt es den SCADA-Geräten zur Verfügung. 4
5
ICS-Risiken und -Bedrohungen Die Risiken und Bedrohungen für SCADA-Geräte steigen. Viele der Gefahren rund um den Einsatz dieser Geräte hängen mit der Nutzung der Benutzerschnittstelle (Human Machine Interface, kurz HMI) und den Mechanismen zur Aufzeichnung von historischen Daten (Data Historian) zusammen. Diese Werkzeuge dienen dazu, Trends und historische Informationen über industrielle Prozesse zu Referenzzwecken zu sammeln. Die Benutzerschnittstelle aber enthält häufig herkömmliche Schwachstellen für Webanwendungen, die etwa Angriffe über SQL Injection und Cross Site Scripting ermöglichen. Auch sind HMIs von den traditionellen Server-Schwachstellen betroffen. Läuft beispielsweise ein HMI auf einem Windows Server 2003, so kann ein Angreifer nicht gepatchte Schwachstellen entdecken und sie ausnützen, um auf die Schnittstelle zuzugreifen. Häufig werden die HMI-Angriffe über Verbindungen von einer ungenügend abgesicherten DMZ (Demilitarized Zone) oder über ein Geschäftsnetzwerk in eine sichere SCADA-Umgebung eingeschleust. Setpoints (Schwellwerte), das heißt Überprüfungen auf Abweichungen, stellen sicher, dass eine bestimmte Kontrolle innerhalb des überwachten Abschnitts besteht. Beispielsweise hätte ein Thermostat für eine Wohnungsheizung einen oberen Setpoint für hohe Temperaturen und einen unteren für niedrige Temperaturen. Ist der untere Setpoint erreicht, so wird automatisch die Heizung angehen. Wird ein HMI in irgendeiner Weise kompromittiert, so können Verbindungen zu einem sicheren Bereich geöffnet werden und zu Änderungen an den Setpoints oder Mechanismen mit ähnlicher Funktion führen. 6
3 �Kyle Wilhoit. (2013). “SCADA in der Cloud: Diskussionsbeitrag zur Sicherheit” http://www.trendmicro.de/media/misc/scada-in-the-cloud-a-security-conundrum-de.pdf 4 �Keith Stouffer, Joe Falco, and Karen Scarfone. (June 2011). “Guide to Industrial Control Systems (ICS) Security.” http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf; �Tom Phinney. “IEC 62443: Industrial Network and System Security.” http://www.isa.org/autowest/pdf/Industrial-Networking-and-Security/Phinneydone.pdf 5 �ISA SECURE. (April 15, 2013). “Establishment of ISASecure Japanese Scheme and Publication of ISASecure Embedded Device Security Assurance Certification Program Specifications in Japan.” Last accessed July 29, 2013, http://isasecure.org/News-Room/Press-Releases/Establishment-of-ISASecure-Japanese-Scheme-and-Pub.aspx. 6 �Wikimedia Foundation, Inc. (July 10, 2013). Wikipedia. “Operational Historian.” Last accessed July 29, 2013, http://en.wikipedia.org/wiki/Operational_historianhistorian.
5
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Darüber hinaus sollten auch die Bedrohungen für das Aufzeichnungs-Werkzeug historischer Daten bedacht werden. Ein solches Werkzeug funktioniert wie eine zentrale Datenbank für die Aufzeichnung aller Prozessinformationen innerhalb einer ICS-Umgebung. Verschafft sich ein Angreifer Zugang zu diesem Werkzeug, das zum Beispiel in der DMZ oder im Geschäftsnetzwerk angesiedelt ist, erhält er auch Zugriff (z.B. einschließlich Lesen oder Lesen/Schreiben) auf viele sichere Systeme und damit auf eine Fülle an Informationen, wie historische Daten zu Prozessen und/oder Befehlen in Verbindung mit statistischen Daten. In einigen Umgebungen fungiert ein Data Historian auch als „Clearinghouse“ für einige Befehle an Programmable Logic Controller (PLC)-Geräte. Verschafft sich der Angreifer den Zugang zu einem solchen Data Historian, so kann er auch Man-in-The-Middle (MiTM)-Befehle absetzen, die die legitimen ändern.
Öffentlich gemachte ICS-Angriffe Einige ICS-Angriffe sind öffentlich gemacht worden, doch eine viel größere Zahl nicht, und auch die veröffentlichten enthalten wenige Einzelheiten. Die folgende Tabelle zeigt einige der veröffentlichten Angriffe auf ICS oder kritische Infrastrukturen: 7
7 Dancho Danchev’s Blog—Mind Streams of Information Security Knowledge. (October 5, 2006). “SCADA Security Incidents and Critical Infrastructure Insecurities.” Last accessed August 1, 2013, http://ddanchev.blogspot.com/2006/10/scada-security- incidents-and-critical.html; Kevin Poulsen. (September 3, 2003). The Register. “U.S. Warns Nuke Plants of Worm Threat: If There Was Ever a Place That Needed AV Protection….” Last accessed August 1, 2013, http://www.theregister.co.uk/2003/09/03/us_warns_nuke_plants/; John Leyden. (January 11, 2008). The Register. “Polish Teen Derails Tram After Hacking Train Network: Turns City Network into Hornby Set.” Last accessed August 1, 2013, http://www. theregister.co.uk/2008/01/11/tram_hack/; Shelby Grad. (December 1, 2009). L.A. Now. “Engineers Who Hacked into L.A. Traffic Signal Computer, Jamming Streets, Sentenced.” Last accessed August 1, 2013, http://latimesblogs.latimes.com/lanow/2009/12/engineers-who-hacked-in-la-trafficsignal- computers-jamming-traffic-sentenced.html; William J. Broad, John Markoff, and David E. Sanger. (January 15, 2011). The New York Times. “Israeli Test on Worm Called Crucial in Iran Nuclear Delay.” Last accessed August 1, 2013, http://www.nytimes. com/2011/01/16/world/middleeast/16stuxnet.html?pagewanted=all&_r=0; John E. Dunn. (November 14, 2011). Techworld. “Mystery ‘Virus’ Disrupts New Zealand Ambulance Service: Malware Sends Operators Back to Manual Communication.” Last accessed August 1, 2013, http://news.techworld.com/security/3318106/ mystery-virus-disrupts-new-zealand-ambulance-service/; John Leyden. (June 25, 2013). The Register. “North and South Korea Hit by Cyber-Blitz on Korean War Anniversary: Official Nork Portals Knocked Offline, South Korean Prez, and PM also KO’d.” Last accessed August 1, 2013, http://www. theregister. co.uk/2013/06/25/korean_war_anniversary_ddos_attacks/.
6
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Öffentlich gemachte ICSAngriffe Jahr
Vorfall
Ort
2000
Kläranlage wurde von ehemaligem Angestellten angegriffen
Maroochy, Australien
2003
Kernkraftwerk-System über Slammer-Wurm ausgeschaltet
Ohio, USA
2008
Hacking bewirkt das Entgleisen eines Zugs
Lodz, Polen
2009
Verkehrssignalanlage gehackt
Los Angeles, USA
2010
Stuxnet-Wurm zerstört Betrieb einer Uranzentrifuge
Natanz, Iran
2011
Störung des Krankenwagendienstes durch eine Malware-Infektion
Neuseeland
2013
Dienste von Banken und Fernsehen unterbrochen
Südkorea
Obwohl nahezu alle Angriffe auf ICS-Umgebungen digital verursacht werden (d. h. Online gestartet), werden viele nicht öffentlich oder werden von Regierungsbehörden oder den Incident Response Teams als „geheim” (classified) eingestuft. Auch werden viele Angriffe nicht publik gemacht, weil die Verantwortlichen nicht zwischen einem Cyberangriff und einem Hardware- oder Software-Ausfall unterscheiden können. Fällt ein Gerät in einem SCADANetzwerk aus, so ersetzen viele Verantwortliche das „defekte“ Gerät, ohne den Grund für den Ausfall zu recherchieren. Viele verstehen nicht, was ein Cyberangriff ist und scheuen vor den Auswirkungen auf die Produktionsanforderungen zurück, sodass es einfacher ist, das Gerät zu ersetzen und weiter zu machen wie vorher.
7
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Herkömmliche Honeypot-Installationen Es ist wichtig zu verstehen, wie eine herkömmliche ICS-Umgebung aufgebaut ist.
Die Grafik zeigt, dass keine Sicherheitsgeräte oder –Protokolle vorhanden sind. Die meisten ICS-Installationen verfügen über keine Sicherheitsmaßnahmen.
8
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Die ursprüngliche Honeypot-Installation Der erste Bericht „Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung?“ beschrieb eine mit dem Internet verbundene Honeypot-Installation in den USA, die darauf ausgerichtet war, gezielte Angriffe anzulocken. Es gab zwei Arten der Honeypot-Architektur – solche mit hoher und solche mit geringer Interaktion. Der erste Honeypot hatte eine Architektur mit hoher Interaktion und ahmte die Aktivitäten eines physischen ICS-Geräts nach.
Die Honeypots mit geringer Interaktivität lassen sich als Fallen beschreiben, die Dienste eines Produktionssystems simulieren. Sie nutzen sehr wenige Ressourcen und ermöglichen bei Bedarf das Erzeugen von mehreren Instanzen.
Die neue Honeypot-Architektur Die ursprüngliche Honeypot-Installation war erfolgreich und brachte genaue Ergebnisse. Dennoch wollte das Team mehr Daten sammeln, um die globale Perspektive besser wiedergeben zu können. Das Team erstellte eine robuste, virtualisierte Umgebung, die überall in der Welt in ein paar Minuten aufgesetzt werden konnte. Traditionell haben kommunale Wasserversorger nur wenig Kontrolle über die Systeme, die die Wasserversorgung regeln. Diese Systeme sind nur selten sicher – also ideal geeignet für die Zwecke eines Honeypots.
9
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Eine erste Herausforderung bei der Erstellung der neuen Honeypot-Architektur bestand darin, eine glaubhafte, nachgeahmte Version einer virtualisierten ICS-Umgebung hinzubekommen. Dafür wurden neu erstellte und bereits vorhandene Tool-Sets für die virtualisierten Umgebungen eingesetzt. Zusätzlich musste ein voll funktionsfähiges Emulation der Dienste entwickelt werden. Auch dafür kamen das bereits erwähnte Tool-Set und die Skripts zum Einsatz. Zu den weiteren Herausforderungen gehörte die Angriffszuordnung. Angriffe über IP-Adressen zuzuordnen, ist inkonsistent und bringt einem Unternehmen, das wissen will, wer es angreift, nicht viel. Deshalb verwendete jeder Honeypot in der Architektur ein Modul namens „The Browser Exploitation Framework“ (BeEF), mit dem Angriffe einem bestimmten Angreifer oder einer Gruppe von Angreifern zugeordnet werden konnten. 8
In der neuen Honeypot-Architektur sollte jeder Bereich als „Modul” betrachtet werden, das unabhängig von den anderen arbeitet. Viele dieser Module arbeiten in derselben virtuellen Maschine, mit Ausnahme der HMI, die in einer logisch separaten virtuellen Instanz untergebracht ist. Auch das PLC-Gerät, mit dem die HMI-Schnittstelle interagiert, ist logisch von den anderen Geräten getrennt.
8 BeEF. http://beefproject.com/.
10
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Die neue Honeypot-Installation Um weltweit realistische Daten zu zielgerichteten Angriffen zu erhalten, bedurfte eseiner virtualisierten und robusteren Honeypot-Architektur. Außerdem wurden die Honeypots vervielfältigt und in ein Honeynet verwandelt. Ein Honeynet ist generell ein Netzwerk, bestehend aus Honeypots, die üblicherweise geografisch verteilt sind. In diesem Fall jedoch funktionierten alle Honeypots separat, ohne miteinander zu kommunizieren. Diese Trennung stellte sicher, dass im Fall eines Angriffs keine Ansteckung durch Kommunikation stattfindet und nur ein einziger Honeypot im Honeynet kompromittiert wird.
Die Vielfalt der Länder, in denen Honeypots eingesetzt wurden, trug dazu bei, eine hohe Anzahl an Angriffen zu erzielen.
11
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung?
Honeypot-Installationen nach Ländern Honeypot-Standort
Anzahl der Installationen
China
2
Japan
1
Russland
3
Australien
1
USA
2
Irland
1
Brasilien
1
Singapur
1
Insgesamt
12
Bei der weltweiten Installation der Honeypots wurden alle Texte in den Honeypots lokalisiert. Dazu benötigte das Team die Hilfe der Kollegen in den jeweiligen Ländern, die auch die jeweiligen Gepflogenheiten kannten.
Beispiel einer Webseite auf einer Honeypot-Instanz
12
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung?
Beispiel einer HMI Webseite
Auskundschaften der ICS-Geräte Die Art und Weise, wie Angreifer ICS-Geräte auskundschaften, ist derjenigen auf anderen Systemen wie Windows-Server sehr ähnlich. Viele Angreifer eines Honeypots suchten erst auf der Website von ShodanHQ nach bestimmten Suchbegriffen. Die häufigsten waren „SCADA” und „Modbus”, gefolgt von „Simatic+HMI”, „Simatic+S7” und „HMI”. 9
Außerdem führten die Angreifer viele Port Scans durch. Die typischen gescannten Ports waren die ersten 1024 innerhalb der Honeypots. Je nach Interesse erweiterten die Angreifer die Scans auch auf weitere Ports. Anscheinend nutzten die Angreifer nur selten „langsames Scanning“ (beispielsweise, um keine Aufmerksamkeit zu erregen). Viele scannten Ports in Clustern, sodass sie sehr einfach zu entdecken waren. Wahrscheinlich gingen sie davon aus, dass viele Systemund Firewall-Administratoren die Logs nicht sehr intensiv verfolgen. Eine weitere Ausspähmethode setzte beliebte textbasierte Sharing-Plattformen wie Pastebin und Pastie ein. Obwohl das Team keinen ihrer Honeypots in den Postings fand, entdeckten sie dort Zusammenstellungen anderer ICS-Geräte.
Das Zuordnungs-Framework Der Standort eines Angreifers lässt sich anhand der verwendeten IP-Adresse nicht eindeutig feststellen, denn die Hintermänner nutzen häufig Anonymisierungs-Tools wie Tor, um die Quelle ihrer IP-Adresse zu ändern. 10
Deshalb nutzten die Forscher das exzellente Framework BeEF. Allgemeingilt das Framework als von Natur aus unzuverlässig. Doch richtig angewendet können die Forscher und Analysten die Angriffe detailliert zuordnen.
9 SHODAN. (2013). Last accessed July 30, 2013, http://www.shodanhq.com/. 10 The Tor Project, Inc. Tor. Last accessed July 3, 2013, https://www.torproject.org/.
13
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
BeEF kann als Framework aktiv Skripts im Browser eines Opfers ausführen, und zwar jedes Mal, wenn dieses eine bestimmte Webseite aufruft. Ein solches BeEF-Skript betteten die Foscher in eine Webseite ein, die nur mithilfe sicherer Zugangsdaten -- die in der Honeypot-Umgebung gespeichert waren -- aufgerufen werden konnte. Die Seite befand sich in der Honeypot-Architektur, in einem sicheren Bereich. Das hieß, dass ein mögliches Opfer diese Seite innerhalb des sicheren Bereichs im Honeypot besuchen musste, damit sein Browser betroffen war. Kompromittiert also ein Angreifer die Authentifizierung der Website, führt BeEF das Skript aus, identifiziert den geografischen Standort und sammelt andere statistische Daten.
Beispiel eines BeEF Administrationsportals
Innerhalb von BeEF, sammelt das „get physical location”-Modul über die benachbarten Funkzugangspunkte die Informationen zum geografischen Standort. Dazu nutzt es Befehle, die in einem signierten Java-Applet eingebettet sind. Das „get system inf ”-Modul holt inzwischen Systeminformationen mithilfe eines unsignierten Java-Applets. Zu den Daten gehören Einzelheiten beispielsweise zum Betriebssystem, der Anzahl der Prozessoren, dem NICNamen und den IP-Adressen. Schließlich stellte das -Modul fest, ob auf der eingesetzten Maschine Tor läuft. Darüber hinaus nutzten die Forscher auch weitere Zuordnungsmethoden und interne Tools. Die Korrelation zwischen BeEF und diesen internen Tools liefert sehr effiziente Mittel, um den physischen Standort eines Angreifers zu ermitteln.
14
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Angriffe ICS-Angreifer sind den herkömmlichen zielgerichteten Angreifern häufig sehr ähnlich. Sie unternehmen im Vorfeld dieselben Schritte wie die zielgerichteten Angreifer und kundschaften nicht nur die anvisierten IP-Adressen aus, sondern auch den Netzblock, auf dem die Geräte gehostet werden. Neben dem Port Scanning der Subnetze führen sie auch Fingerprinting auf den Geräten durch, um deren Betriebssysteme zu ermitteln, und wenn möglich weitere Informationen zu sammeln. Darüber hinaus suchen sie Schwachstellen. Bei 70 Prozent der Angriffe beobachteten die Forscher, dass, sobald der Zugang zu den Geräten geklappt hatte, die Seitwärtsbewegungen im System einsetzten und Daten gesammelt wurden. In einem Fall handelte es sich um die VPN-Konfigurationsdateien, sodass der Server kompromittiert wurde. Innerhalb von drei Monaten fanden einige Angriffe statt, wobei ein paar Angreifer sogar den gesamten Betrieb eines ICS-Geräts kompromittierten. Dabei zählten für das Forscherteam nur die Angriffe, die als zielgerichtet gelten konnten (z.B. solche, bei denen im Vorfeld viel Arbeit in das Auskundschaften des Ziels gesteckt wurde, bevor die Angreifer auf Fingerprinting und den eigentlichen Angriff übergingen). Von März bis Juni 2013 beobachteten die Forscher Attacken aus 16 Ländern, die für 74 Angriffe auf sieben Honeypots innerhalb des Honeynets verantwortlich waren. Von diesen 74 Angriffen gelten 11 als „kritisch“. Diese Bewertung bezieht sich auf Angriffe, die den katastrophalen Betriebsausfall eines ICS-Geräts bewirken können. Nichtkritische Angriffe haben nicht solche Auswirkungen, könnten aber dazu führen, falls sie weiter anhalten, etwa wenn sie die Form eines DDoS-Angriffs (Distributed-Denial-of-Service) annehmen.
15
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
16
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Weitere Einzelheiten zu der Unterteilung nach Typus gibt die folgende Tabelle.
17
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Ursprung des Angriffs und Typus Land
18
Typus
Insgesamt
kritisch
nicht kritisch
Niederlande
0
2
2
China
5
2
7
Deutschland
1
4
5
Kasachstan
0
1
1
Kanada
0
1
1
USA
0
3
3
Australien
0
1
1
Moldavien
0
1
1
Ukraine
0
2
2
Großbritannien
1
0
1
Frankreich
1
0
1
Palästina
2
1
3
Polen
0
1
1
Slowenien
0
1
1
Japan
0
1
1
Russland
0
43
43
Total
10
64
74
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Weitere Einzelheiten zu den Angriffen, vor allem welche Schritte die Angreifer unternahmen und wie sie klassifiziert wurden, zeigt die folgende Tabelle: Angriffsaktivitäten und -klassifizierung Honeypot-Standort
Aktivitäten
Klassifizierung nach dem angestoßenen Alert
USA
Versuchte Änderung an Modbus-Verkehr. Änderung der Lüftergeschwindigkeit der CPU der Wasserpumpe. Spear-Phishing-Angriff auf HMI-Zugang.
Versuch des nicht autorisierten Zugriffs. Änderung des SCADASystems.
Japan
Zugriff auf statistics.php-, diagnostics.php- und protocols.php-Seiten. Spear-Phishing-Versuch. Versuchte Änderung an Modbus-Verkehr. HMIZugriff.
Versuch des nicht autorisierten Zugriffs. Veröffentlichen von Informationen.
China
Zugriff auf statistics.php-, diagnostics.php- und protocols.php-Seiten. HMI-Zugriff. SetpointModifikationen.
Versuch des nicht autorisierten Zugriffs. Veröffentlichen von Informationen. Änderung des SCADA- Systems.
Brasilien
Zugriff auf statistics.php-, diagnostics.php- und protocols.php-Seiten. HMI-Zugriff.
Versuch des nicht autorisierten Zugriffs. Veröffentlichen von Informationen.
Singapur
Änderung der Lüftergeschwindigkeit der CPU der Wasserpumpe.
Versuch des nicht autorisierten Zugriffs. Veröffentlichen von Informationen. Änderung des SCADA- Systems.
Irland
Zugriff auf statistics.php-, diagnostics.php- und protocols.php-Seiten.
Versuch des nicht autorisierten Zugriffs. Veröffentlichen von Informationen.
19
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Angriffsaktivitäten und -klassifizierung Honeypot-Standort
Aktivitäten
Klassifizierung nach dem angestoßenen Alert
Australien
Zugriff auf statistics.php-, diagnostics.php- und protocols.php-Seiten. HMI-Zugriff.
Versuch des nicht autorisierten Zugriffs. Veröffentlichen von Informationen.
Russland
Versuchter Einbruch mithilfe von Malware. Zugriff auf statistics.php-, diagnostics.php- und protocols.php-Seiten.
Versuch eines Exploit mit (nicht bekannter) Malware. Versuch des nicht autorisierten Zugriffs. Veröffentlichen von Informationen.
Von den elf kritischen Angriffen generierten sechs Snort-Alerts. Innerhalb von Snort wurden zwei Regeln angestoßen: „Unauthorized Read Request to a PLC“ und „Unauthorized Write Request to a PLC“. Diese Regeln lösen normalerweise Alarme aus, wenn ein nicht autorisierter Modbus-Client versucht, Informationen von einem PLC- oder SCADA-Gerät zu lesen oder zu schreiben. Beide Regeln weisen normalerweise darauf hin, dass das Gerät ausgekundschaftet wird. Aufgrund der erfolgten Angriffe und der angestoßenen Snort-Signaturen konnten die Forscher feststellen, dass die Alarme während des Auskundschaftens generiert wurden und nicht, als der tatsächliche Angriff stattfand. Zusätzlich zu diesen Angriffen entdeckten die Forscher auch Angriffe, die wiederholt von ähnlichen IP-Adressen oder Netzblöcken durchgeführt wurden. Eine interessante Statistik betrifft Angriffe, die auf drei geografisch verteile Honeypots zielten. In diesen wurden die Angriffe aus zwei /24.Netzblöcken und fünf unterschiedlichen IP-Adressen ausgeführt. Auch beobachteten die Forscher Referrer aus ShodanHQ-Queries und Port Scans, BetriebssystemFingerprinting sowie automatische Schwachstellen.
20
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
In vielen Fällen versuchten die Angreifer, die HMI zu kompromittieren und den Protokollverkehr des Modbus zu ändern. Die HMI in der Honeypot-Umgebung kann als Gateway zur ICSUmgebung gesehen werden. Wenn Angreifer versuchen, die HMI zu ändern, so suchen sie nach Schwachstellen für SQL Injection und Cross Site Request Forgery (CSRF). SQL Injection bezeichnet eine Technik des Einschleusens von Code, der Anwendungsschwachstellen ausnützt, um an die Datenbank im Backend heranzukommen. CSRF-Angriffe funktionieren über die böswillige Ausnützung einer Website, indem nicht autorisierte Befehle von einem Nutzer gesendet werden, dem die Site vertraut. Die Angreifer versuchen auch häufig, sich mit Default-Anmeldedaten in sicheren Bereichen einzuloggen. Wörterbuchangriffe (z.B. mit Brute Force) auf ein HMI waren ebenfalls üblich. HMIs ohne Abmeldemechanismen machen es Angreifern möglich, sich mühelos mehrmals anzumelden. Angreifer, die es auf den Modbus-Verkehr abgesehen hatten, versuchten, legitime Befehle des Modbus an den PLC zu ändern und auszuführen. Weil der Modbus Daten im Klartext ohne Authentifizierung versendet, ist er ein beliebtes Ziel für Angreifer, die ICS-Umgebungen kompromittieren wollen.
Automatisierte Attacken Die Forscher verfolgten auch automatisierte Angriffe wie solche über SQL Injection. Überraschend war schon die schiere Anzahl dieser Attacken: 33.466 automatisierte Angriffe im gesamten Honeynet von 1.212 einzigartigen IP-Adressen. Auch wenn keine Zuordnung dieser Angriffe vorgenommen wurde, so beobachten die Forscher sie dennoch, um Vergleiche ziehen zu können.
Interessanter Angriff in Japan Einer der besonders interessanten Angriffe richtete sich gegen einen japanischen Honeypot. Die Auskundschaftung des Honeypots wurde über eine konventionelle ShodanHQ-Suche durchgeführt. Die Angreifer entdeckten den Honeypot über die Abfrage „SCADA country: Japan”. Damit erhielten sie die IP-Adresse und führten zwei Remote-Port-Scans durch. Der erste Scan bezog sich auf die ersten 1024 Ports. Diese werden meist zuerst gescannt, weil sie als die üblichen gelten. Nachdem sie Port 502 (z.B. Modbus-Port) offen vorgefunden hatten, scannten sie alle 65.535 Ports. Sie führten keinen so genannten langsamen Scan durch, der die Entdeckung durch einen Systemadministrator erschweren würde, sondern scannten alle Ports auf einmal, sodass sie viel Aufmerksamkeit erregten.
21
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Danach versuchten sie sofort, auf die HMI zuzugreifen, die über einen Default-Nutzernamen und Kennwort gesichert war. Nach einigen, offenbar manuellen Versuchen mit verschiedenen Kombinationen gelang der Einbruch in den sicheren Bereich der HMI. Von da aus versuchten die Angreifer, den Modbus-Verkehr zu modifizieren und zugleich auf den Windows Server 2003 zuzugreifen. Nach einem missglückten Versuch, den Modbus-Verkehr zu ändern, begannen sie schnell die Setpoint-Einstellungen der Honeypot-HMI zu ändern. Sie änderten den Pumpendruck des Geräts und auch die Wassertemperatur. Danach erstellten sie eine geplante Aufgabe (scheduled task) – das Herunterfahren der Pumpe –, womit sie effektiv das Wasserpumpen zur angegebenen Zeit außer Kraft setzten. Dann meldeten sie sich sofort ab und stellten alle Aktivitäten im Zusammenhang mit dem Honeypot und dem Windows Server ein.
Bemerkenswerter zielgerichteter Angriff Im Zuge der Forschung bemerkte das Team im Dezember 2012 einen sehr gezielten Angriff auf einen Honeypot in den USA. Der Angriff begann wie so viele mit einer Phishing-Nachricht an eine E-Mail-Adresse, die die bereits kompromittierte Website des Honeypots geliefert hatte. Die E-Mail-Adresse ahmte eine legitime Adresse einer Stadtverwaltung sehr gut nach. Die Mail hatte einen Anhang namens “CITYREQUEST.doc.”
22
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Screenshot des geöffneten CITYREQUEST.doc
Der Anhang enthielt nur wenig Text und schließt sich schnell automatisch, um dann eine Dialogbox mit nicht zu identifizierendem Text zu öffnen.
23
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung?
Dialogbox, die erscheint, nachdem das Dokument geschlossen wurde
Durch das Anklicken von „OK” werden einige Signale an Command-and-Control (C&C)Server in China und in den USA gesendet. Auch führt die Aktion dazu, dass zwei Dateien -- ai.exe und gh.exe – abgelegt werden. Gh.exe ist ein Standard-Werkzeug zur Ausgabe von Passwort-Hashes. Wird es über die Befehlszeile ausgeführt, so muss die Option „-w” vorhanden sein, damit alle Dateien des Hash ausgegeben werden. Dies ist eine Standardfunktion, die dazu dient, Persistenz aufrecht zu erhalten und um sich seitwärts durch ein Zielnetzwerk bewegen zu können. Ai.exe hingegen ist viel interessanter, denn es handelt sich um eine beliebte Malware, auch als “HACKSFASE” bekannt. 11
11 �Mandiant. “APT1: Exposing One of China’s Cyber Espionage Units.” Last accessed July 4, 2013, http://intelreport.mandiant.com/ Mandiant_APT1_Report.pdf.
24
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Zeichenkette HACKSFASE
Zusätzliche HACKSFASE-Referenz
Die weitere Analyse von ai.exe zeigte einige Optionen, die als Interface dazu genutzt werden können:
Beispiel einer Befehlsstruktur für ai.exe
Code zeigt HACKFASE Strings
25
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Die Ausführung von ai.exe führte auch zum Abgreifen von Daten. Diese Aktion begann etwa drei Stunden, nachdem CITYREQUEST.doc geöffnet worden war. Zu den exfiltrierten Daten gehörten die Security Accounts Manager (SAM)-Datenbank, VPN-Konfigurationsdateien und einige weitere Konfigurationseinzelheiten wie Host-Name, IP-Adresse und Standort. Auch sendeten die Angreifer eine Reihe von Befehlen über den Server, wobei viele den seitlichen Bewegungen dienten. Einige „pings“ und „traceroutes“ an Default-Gateways und angrenzende Netzwerke waren ebenfalls dabei, ebenso wie viele „arp“-Befehle, um nach Kommunikationsmustern zu suchen. Darüber hinaus wurden Laufwerks- und OrdnerFreigaben gemounted und lokale host-basierte Firewalls und Antivirus-Software deaktiviert. Erstaunlicherweise verwendeten die Angreifer Basis-Antiforensik-Techniken wie das Löschen von Prefetch-Daten auf Windows-Instanzen. Bei herkömmlichen zielgerichteten Angriffen bedeuten diese Befehle meist, dass die Angreifer versuchen, Persistenz zu erreichen und sich seitlich durch das anvisierte Netzwerk bewegen zu können.
Beweggründe für die Angriffe Es ist sehr schwierig, genau zu bestimmen, wer ein Gerät angreift und auch welche Beweggründe dahinter stecken. Die meisten Versuche, Angriffe zuzuordnen, beginnen damit, das Ursprungsland des Angreifers zu bestimmen, denn das könnte Hinweise auf die Beweggründe eines Angreifers liefern. Hat etwa Land A ein Interesse daran, die Installationsmethode für ICS-Geräte des Landes B zu kopieren, so kann dies der Grund für die Attacke sein. Die Forschung mithilfe des Honeynets hat gezeigt, dass viele der Angriffe auf Installationen in Russland zielten. Auch wurde deutlich, dass die meisten Angriffe aus demselben Land kamen. Von den kritischen Angriffen auf das Honeynet stammten fünf (bzw. 50 Prozent) aus China. Die Art des erfolgten Angriffs kann ebenfalls dabei helfen, die Beweggründe für die Attacke zu verstehen. Ein zielgerichteter Angriff, der den Betrieb des ICS-Geräts nicht kompromittiert, lässt auf Informationssammlung und Spionage als Motivation schließen. Stört ein Angriff jedoch den Betrieb des anvisierten ICS-Geräts, so sind es wahrscheinlich zerstörerische Hintergründe.
26
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Von allen zwischen Dezember 2012 und Mai 2013 aufgezeichneten Angriffen auf die Architektur waren mindestens 15 von Natur aus auf Informationssammlung und Ausspionieren der Ziele oder auf die Störung des Betriebs des Geräts ausgerichtet. Mindestens 33 Angriffe ließen sich als destruktiv bezeichnen und hatten die Unterbrechung des Betriebs des ICS-Geräts zum Ziel. Dies könnten auch Zufallsangriffe gewesen sein. Das heißt, der Angreifer fand zufällig den Honeypot. Die Beweggründe für diese 20 Angriffe bleiben unklar. Das Team bezieht diese zufälligen Angriffe nicht in seine Statistiken ein. Angriffe dieser Art können vorkommen, wenn jemand beim Durchsuchen der ShodanHQ-Website auf ein mit dem Internet verbundenes ICS-Gerät stößt und dann beschließt, es anzugreifen. Auch wenn viele dieser Angriffe mit einer ShodanHQ-Abfrage beginnen, lässt sich ohne zusätzliche Details wie Port-Scans nicht genau sagen, ob es sich um zufällige oder tatsächlich zielgerichtete Attacken handelt.
Schlussfolgerungen Es lässt sich nicht feststellen, wie häufig Angriffe auf mit dem Internet verbundenen ICSGeräte vorkommen, doch steht fest, dass Attacken auf ungeschützte oder nur schlecht geschützte ICS-Geräte regelmäßig passieren. Die Bedrohungslandschaft für ICS-Geräte ändert sich ständig, und Wegsehen löst das Problem nicht. Wie bei anderen Sicherheitsherausforderungen gilt auch hier ein mehrschichtiger Ansatz als die beste Lösung. Lesen Sie dazu auch die Empfehlungen in dem Papier „Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung“. Nachfolgend noch ein paar zusätzliche Ratschläge: • Implementieren einer Abschottung für USB und für externe Medien: Überraschend viele ICS-Angriffe starten von einem infizierten USB-Laufwerk. Deshalb sollte die Nutzung von USB-Laufwerken und Lese-/Schreibzugriff auf jegliche externe Medien oder ICS-Geräte verboten sein. • Einsatz proaktiven Schutzes: Der Einsatz eines Intrusion-Prevention-Systems (IPS) oder einer anderen Art der proaktiven Verteidigung in einem ICS-Netzwerk kann unter Umständen die seitlichen Bewegungen unterbinden. Achtung: Nicht alle Netzwerke unterstützen den proaktiven Schutz.
27
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
• Whitelist-Applikationen: In jeder ICS-Umgebung ist es wichtig, nicht nur zu wissen, welche Anwendungen vorhanden sind, sondern auch diese zu kontrollieren. Applikations-Whitelisting erleichtert diese Aufgabe, denn damit ist allein die Installation bewilligter Anwendungen im Netzwerk möglich. Der Vorteil: Die Wahrscheinlichkeit der Ausnutzung von Schwachstellen sinkt erheblich und auch die Kommunikation aus einem „geschützten“ ICS-Netzwerk sinkt auf ein Minimum. • Datenklassifizierung: Um das Risiko eines Datenverlusts in einer Umgebung einschätzen zu können, ist es sehr wichtig zu wissen, welche Daten in einem ICSNetzwerk lagern oder durchgeschleust werden. Die Klassifizierung der Daten in „streng vertraulich”, „vertraulich” und/oder „öffentlich” hilft dabei sicherzustellen, dass keine wichtigen oder vertraulichen Dokumente die ICS-Umgebung verlassen. Dasselbe gilt für Informationen, die in die Umgebung hineinkommen. • Einem Standard folgen: Viele Sicherheitsexperten sind sich darüber einig, dass einige ICS-Standards sehr nützlich sind. Ein guter Anfang wäre es, die Standards des National Institute of Standards and Technology (NIST), eines ICS-Standardgremiums der USRegierung, in Betracht zu ziehen. • Nutzen der Red Teams: Die Forschung hat gezeigt, dass Penetrationstests und der Einsatz von so genannten Red Teams für die gelegentlichen Pen-Tests der Netzwerke und Anwendungen in einem ICS-Netzwerk dazu beitragen, die Zahl der Schwachstellen zu reduzieren und auch sicherzustellen, dass die vorhandenen geschlossen werden. Es empfiehlt sich der vierteljährliche Einsatz von Red Teams. • Management der Schwachstellen: Das Schwachstellenmanagement trägt ebenfalls dazu bei, dass Sicherheitslücken, vor allem die kritischen, geschlossen werden. Dafür sollte ein Schwachstellen-Scanner und -Manager in der ICS-Infrastruktur vorhanden sein.
28
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Anhang Die folgende Karte und Tabelle zeigen zusätzliche Einzelheiten bezüglich der Angriffsarten, die auf jeden einzelnen Honeypot durchgeführt wurden.
29
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Overall Attack Matrix Target
Origin Brasilien
Russland
USA
Irland
Singapur
China
Japan
Australien
Niederlande
N/A
2 NC
N/A
N/A
N/A
N/A
N/A
N/A
China
N/A
1 NC 3C
N/A
1C
N/A
1 NC 1C
N/A
N/A
Deutschland
N/A
4 NC 1C
N/A
N/A
N/A
N/A
N/A
N/A
Kazachstan
N/A
1 NC
N/A
N/A
N/A
N/A
N/A
N/A
Kanada
N/A
1 NC
N/A
N/A
N/A
N/A
N/A
N/A
USA
N/A
2 NC
N/A
N/A
N/A
1 NC
N/A
N/A
Australien
N/A
1 NC
N/A
N/A
N/A
N/A
N/A
N/A
Moldavien
N/A
1 NC
N/A
N/A
N/A
N/A
N/A
N/A
Ukraine
N/A
2 NC
N/A
N/A
N/A
N/A
N/A
N/A
Grossbritanien
N/A
N/A
N/A
N/A
N/A
1C
N/A
N/A
Frankreich
N/A
N/A
N/A
N/A
N/A
1C
N/A
N/A
Palästina
N/A
1 NC
N/A
N/A
N/A
1C
1C
N/A
Polen
N/A
1 NC
N/A
N/A
N/A
N/A
N/A
N/A
Slowenien
N/A
1 NC
N/A
N/A
N/A
N/A
N/A
N/A
Japan
N/A
1 NC
N/A
N/A
N/A
N/A
N/A
N/A
Russland
N/A
43 NC
N/A
N/A
N/A
N/A
N/A
N/A
HINWEIS: „N/A” steht für „nicht zutreffend“ („not applicable”), „NC” steht für nicht kritisch(„noncritical”); „C” steht für „kritisch“ („critical”).
30
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
Referenzen • BeEF. Last accessed August 13, 2013,
.
http://beefproject.com/
• Dancho Danchev’s Blog—Mind Streams of Information Security Knowledge. (October 5, 2006). “SCADA Security Incidents and Critical Infrastructure Insecurities.” Last accessed August 1, 2013, http://ddanchev.blogspot.com/2006/10/scada-security-incidents-and-critical.html. • ISA SECURE. (April 15, 2013). “Establishment of ISASecure Japanese Scheme and Publication of ISASecure Embedded Device Security Assurance Certification Program Specifications in Japan.” Last accessed July 29, 2013, http://isasecure.org/News-Room/Press-Releases/Establishment-of-ISASecure-Japanese-Scheme-and-Pub.aspx. • John E. Dunn. (November 14, 2011). Techworld. “Mystery ‘Virus’ Disrupts New Zealand Ambulance Service: Malware Sends Operators Back to Manual Communication.” Last accessed August 1, 2013, http://news.techworld.com/security/3318106/mystery-virus-disrupts-new-zealand-ambulance-service/. • John Leyden. (January 11, 2008). The Register. “Polish Teen Derails Tram After Hacking Train Network: Turns City Network into Hornby Set.” Last accessed August 1, 2013, http://www.theregister.co.uk/2008/01/11/tram_hack/. • John Leyden. (June 25, 2013). The Register. “North and South Korea Hit by Cyber-Blitz on Korean War Anniversary: Official Nork Portals Knocked Offline, South Korean Prez, and PM also KO’d.” Last accessed August 1, 2013, http://www.theregister.co.uk/2013/06/25/korean_war_anniversary_ddos_attacks/. • Keith Stouffer, Joe Falco, and Karen Scarfone. (June 2011). “Guide to Industrial Control Systems (ICS) Security.” Last accessed July 29, 2013, http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf. • Kevin Poulsen. (September 3, 2003). The Register. “U.S. Warns Nuke Plants of Worm Threat: If There Was Ever a Place That Needed AV Protection….” Last accessed August 1, 2013, http://www.theregister.co.uk/2003/09/03/us_warns_nuke_plants/. • Kyle Wilhoit. (2013). “SCADA in the Cloud: A Security Conundrum?” Last accessed July 29, 2013, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-scada-in-the-cloud.pdf. • Kyle Wilhoit. (2013). “Who’s Really Attacking Your ICS Equipment?” Last accessed June 27, 2013, .
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-whos-really-attacking-your-ics-equipment.pdf
• Mandiant. “APT1: Exposing One of China’s Cyber Espionage Units.” Last accessed July 4, 2013, http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf.
31
Trend Micro | Wer steckt tatsächlich hinter den Angriffen auf ICS-Ausrüstung? | Teil 2
• Shelby Grad. (December 1, 2009). L.A. Now. “Engineers Who Hacked into L.A. Traffic Signal Computer, Jamming Streets, Sentenced.” Last accessed August 1, 2013, http://latimesblogs.latimes.com/lanow/2009/12/engineers-who-hacked-in-la-traffic-signal-computers-jamming-traffic-sentenced.html. • SHODAN. (2013). Last accessed July 30, 2013, http://www.shodanhq.com/. • The Tor Project, Inc. Tor. Last accessed July 3, 2013, https://www.torproject.org/. • Tom Phinney. “IEC 62443: Industrial Network and System Security.” Last accessed July 29, 2013, http://www.isa.org/autowest/pdf/Industrial-Networking-and-Security/Phinneydone.pdf. • Wikimedia Foundation, Inc. (July 10, 2013). Wikipedia. “Industrial Control System.” Last accessed July 29, 2013, http://en.wikipedia.org/wiki/Industrial_control_system. • Wikimedia Foundation, Inc. (July 10, 2013). Wikipedia. “Operational Historian.” Last accessed July 29, 2013, http://en.wikipedia.org/wiki/Operational_historianhistorian. • William J. Broad, John Markoff, and David E. Sanger. (January 15, 2011). The New York Times. “Israeli Test on Worm Called Crucial in Iran Nuclear Delay.” Last accessed August 1, 2013, http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?pagewanted=all&_r=0.
Trend Micro stellt diese Ausführungen lediglich zur Information über eigene Untersuchungen zur Verfügung und übernimmt keinerlei Haftung für deren Richtigkeit oder etwa hierin ausgesprochene Empfehlungen. Diese Hinweise sind lediglich allgemeiner Art und können weder eine Untersuchung des jeweiligen Einzelfalls noch eine Rechtsberatung durch eine interne Rechtsabteilung bzw. einen Rechtsanwalt ersetzen. Trend Micro übernimmt keinerlei Haftung für die Richtigkeit und Vollständigkeit dieser Hinweise. Die in diesem Dokument enthaltenen Informationen können sich ohne vorherige Ankündigung ändern.
32
Über TREND MICRO Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für InternetContent-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. http://www.trendmicro.de/ http://blog.trendmicro.de/ http://www.twitter.com/TrendMicroDE
TREND MICRO DEUTSCHLAND GMBH Central & Eastern Europe Zeppelinstraße 1 85399 Hallbergmoos Tel: +49 811 88990-700 Fax: +49 811 88990-799 www.trendmicro.com ©2013 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.
