Suchen

Erste gezielte Malware-Attacke auf industrielle Sicherheitssysteme

| Redakteur: Sebastian Gerstl

Stuxnets Erben: Eine neue, auf industrielle Prozesse zielende Malware hat offenbar eine kritische Infrastrukturanlage im Mittleren Osten befallen. Der Triton genannte Schädling greift erstmals funktionale Sicherheitssysteme einer Industrieanlage an.

Mit TRITON hat erstmals eine Malware gezielt die Sicherheitssteuerung eine industriellen Anlage attackiert. Laut Medienberichten soll sich diese im Mittleren Osten befinden. Erinnerungen an Stuxnet werden wach.
Mit TRITON hat erstmals eine Malware gezielt die Sicherheitssteuerung eine industriellen Anlage attackiert. Laut Medienberichten soll sich diese im Mittleren Osten befinden. Erinnerungen an Stuxnet werden wach.
(Bild: gemeinfrei / CC0 )

Entdeckt hat den Vorfall die Cybersecurity-Firma FireEye – zumindest machte sie als erste auf den Vorfall aufmerksam. Der Angriff reicht demnach bis in den Dezember des vergangenen Jahres zurück. Ein Angestellter der Cybersecurity-Firma FireEye beschrieb in einem hauseigenen Blogeintrag den Vorfall.

Der Eintrag beschreibt, dass das Security-Team auf den Angriff reagierte, als die neue Malware die Fernsteuerung einer Workstation mit einem „Schneider Electric Triconex Safety Instrumented System“ übernahm. Dieses kurz SIS genannte System wird in Öl- und Gaskraftwerken und kerntechnischen Anlagen eingesetzt. Es überwacht kritische industrielle Prozesse und schaltet sie bei Überschreitung der Sicherheitsgrenzwerte automatisch ab. Laut einem Bericht der EE Times soll sich die betroffene Anlage im Mittleren Osten befinden.

Anders als Stuxnet & Co attackiert Triton Sicherheitssteuerungen

Die von FireEye Triton genannte Malware versuchte anschließend, die SIS-Controller neu zu programmieren. Einige Steuerungen gingen in einen Failsafe-Modus, der den industriellen Prozess abschaltete und den Besitzer der Anlage dazu aufforderte, den Angriff zu untersuchen und zu identifizieren.

Der FireEye Blog gibt an, dass Triton die Fähigkeit besitzt, Sicherheitssysteme daran zu hindern, wie beabsichtigt zu funktionieren. Dies kann physische, zum Teil auch fatale Konsequenzen haben. Die Art der Malware erinnert an zwei frühere, ähnliche Schädlinge: Stuxnet und Industroyer/Crash Override, die das ICS von Herstellern und Infrastruktursystemen wie Energie- und Wasserversorgungsunternehmen stören können. Während sich Stuxnet aber an eine bestimmte Gerätekonfiguration richtete, was in erster Linie für Kraftwerke bestimmte Anlagen von Siemens betraf, attackiert Triton gezielt industrielle Sicherheitssteuerungen.

Laut FireEye, das weder Angreifer, Opfer noch Standorte identifizierte, ist der Angriff charakteristisch für einen Nationalstaat, nicht für Cyberkriminalität: Ziel sei es gewesen, eine kritische Infrastruktur gezielt zu attackieren um sie zu stören, zu degradieren oder direkt zu zerstören. Ein klares monetäres Ziel, etwa in Form von Ransomware-Erpressung, läge hingegen nicht vor.

Nicht öffentliches TriStation-Protokoll verwendet

In diesem speziellen Fall brauchten die Angreifer genügend technisches Fachwissen, um den speziellen Prozess zu verstehen, den das SIS am Ort des Opfers steuert und wie man ihn manipuliert, sowie die spezifischen SIS-Controller, die dort eingesetzt werden. Wenn Triton den Anwendungsspeicher auf den SIS-Steuerungen modifiziert hat, kann dies zu einer fehlgeschlagenen Validierungsprüfung des Anwendungs-Codes zwischen redundanten Verarbeitungseinheiten geführt haben, die die Steuerungen veranlasst hat, einen sicheren Shutdown zu starten. Die Malware nutzte offenbar Schneider Electric's proprietäres TriStation-Protokoll für das Interagieren mit den SIS-Controllern. Da dieses Protokoll nicht öffentlich dokumentiert ist mutmaßen die FireEye-Angestellten, dass die Angreifer wohl Reverse Engineering zur Entwicklung betrieben haben.

ICS Reference Architecture. Die Cybersecurity-Firma FireEye meldet, dass sie erstmals eine Malware festgestellt hätten, die es gezielt auf industrielle Sicherheitssteuerungen abgesehen hat. Der "TRITON" genannte Schädling hat die Aufgabe, Steuerungseinheiten zu stören und zu einer Vollabschaltung zu zwingen.
ICS Reference Architecture. Die Cybersecurity-Firma FireEye meldet, dass sie erstmals eine Malware festgestellt hätten, die es gezielt auf industrielle Sicherheitssteuerungen abgesehen hat. Der "TRITON" genannte Schädling hat die Aufgabe, Steuerungseinheiten zu stören und zu einer Vollabschaltung zu zwingen.
(Bild: FireEye)

Auf der Sicherheitskonferenz S4x18 im Januar lieferte Schneider Electric Einzelheiten seiner eigenen Untersuchung des Angriffs und seiner Analyse von Triton. Dazu gehörte die Entdeckung eines Remote Access Trojaners (RAT) in der Malware, die als erste SIS-Geräte infiziert, sowie eine Zero-Day-Schwachstelle in der SIS-Firmware, die die Malware ausnutzte, um die RAT in den Speicher des Controllers einzuspeisen. "Die Absicht der Malware war es, diese RAT zu installieren, die den Angreifern Lese- und Schreibzugriffsberechtigungen über das SIS gab", sagte Andrew Kling, Direktor für Cybersicherheit und Architektur bei Schneider Electric, in der Präsentation.

Wahrscheinlich war Triton nur eine vorbereitende Maßnahme

Das Threat Intelligence Team des auf Cybersicherheit spezialisierten Unternehmens CyberX hat sein eigenes unabhängiges Reverse-Engineering der Triton-Malware durchgeführt, erwähnte Phil Neray, Vice President of Industrial Cybersecurity, gegenüber der EE Times. "Wir glauben, dass das Ziel der so geschaffenen Back Door darin bestand, sich einen dauerhaften Zugriff auf die Steuerung zu verschaffen, selbst wenn sich der Speicherschutzschlüsselschalter der Steuerung im RUN-Modus befindet", schrieb er.

"Vermutlich bestand der Zweck des Angriffs darin, das Sicherheitssystem zu deaktivieren, um den Grundstein für einen zweiten Cyberangriff zu legen, der zu katastrophalen Schäden an der Anlage selbst führen würde, die möglicherweise zu großen Umweltschäden und zum Verlust von Menschenleben führen könnten".

(ID:45199364)