Anzeige
Anzeige
Anzeige
Beitrag drucken

Neue Angriffsmethode

Evil PLC-Attacke nutzt SPSen aus

Team82-Sicherheitsforscher haben die eine neue Angriffstechnik gegen Industrieanlagen entdeckt. Bei der sogenannten Evil PLC-Attacke nutzen Angreifer SPSen als Werkzeug, um weiter in das OT-Netzwerk vorzudringen und Schadcode zu verbreiten.

Bild: Claroty Ltd.

Schematische Darstellung einer Evil PLC-Attacke


Speicherprogrammierbare Steuerungen (SPS) stellen ein interessantes Ziel für Cyberattacken dar. Sicherheitsforschern von Team82, der Forschungsabteilung des Security-Spezialisten Claroty, wiesen nun nach, dass industrielle Steuerungssysteme nicht nur als Ziel fungieren, sondern auch als Waffe eingesetzt werden können, um Engineering-Workstations für die Verbreitung schädlichen Codes zu nutzen und weiter in OT- und Unternehmensnetzwerke einzudringen. Diese Angriffstechnik namens ’Evil PLC-Attacke’ konnte im Rahmen von Proof-of-Concept-Exploits bei sieben Automatisierungsherstellern (Rockwell Automation, Schneider Electric, GE, B&R, Xinje, Ovarro und Emerson) erfolgreich durchgeführt werden. Mittlerweile haben die meisten der betroffenen Hersteller Updates, Patches oder Abhilfemaßnahmen gegen Evil PLC-Attacken veröffentlicht.

Die Evil PLC-Attacke

Die meisten Angriffsszenarien, bei denen SPSen beteiligt sind, betreffen den Zugriff auf die Steuerung und deren Ausnutzung. Angreifer, die etwa einen Prozess physisch stören möchten, müssen dabei zunächst relativ aufwändig die betreffende SPS identifizieren. Die Team82-Forscher folgten einem anderen Ansatz, indem sie sich auf die SPS als Werkzeug nutzten, um auf die Engineering-Workstation zuzugreifen: Die Engineering-Workstation ist eine Quelle für prozessbezogene Informationen und hat Zugang zu allen anderen SPSen im Netzwerk. Mit diesem Zugang und diesen Informationen können Angreifer die Logik auf jeder SPS ändern.

Die schnellste Methode, einen Techniker dazu zu bringen, sich mit einer infizierten SPS zu verbinden, besteht darin, dass die Angreifer eine Fehlfunktion oder einen Fehler in der SPS verursachen. Dadurch wird der Techniker gezwungen, eine Verbindung herzustellen und die Software der technischen Workstation zur Fehlerbehebung zu verwenden. Im Rahmen der Untersuchung wurde dieser neue Angriffsvektor auf unterschiedlichen ICS-Plattformen ausgeführt. Dabei fanden die Security-Spezialisten in jeder Plattform Schwachstellen, die es ihnen ermöglichten, die SPS so zu manipulieren, dass bei einem Upload-Vorgang eigens erstellte Hilfsdaten die Engineering-Workstation dazu veranlassen, bösartigen Code auszuführen.

Hersteller veröffentlichen Patches

Die meisten der untersuchten Hersteller haben entsprechende Updates, Patches oder Abhilfemaßnahmen gegen Evil PLC-Attacken veröffentlicht. Gleichwohl ist es nicht einfach, ein 100-prozentiges Patching-Niveau zu erreichen, insbesondere bei kritischen Infrastrukturen. Daher empfehlen die Security-Spezialisten von Claroty zusätzliche Maßnahmen zur Risikominderung:

Netzwerksegmentierung und -hygiene: Der erste Schritt zur Sicherung der Verbindung zu Ihren speicherprogrammierbaren Steuerungen ist die Beschränkung des Zugangs durch eine strikte Segmentierung Ihres Netzwerks. Der SPS-Zugriff sollte nur einer kleinen Gruppe von Engineering-Workstations erlaubt werden, was die Angriffsfläche reduziert.

Client-Authentifizierung: Die SPS sollte so konfiguriert werden, dass sie einen Client-Authentifizierungsmechanismus verwendet, um die Identität des Clients (Engineering-Workstation) zu validieren. Derzeit implementieren einige Hersteller solche Kommunikationsprotokolle, bei denen nur eine bestimmte und vordefinierte Gruppe von zertifizierten Engineering-Workstations mit der SPS interagieren kann.

Public Key Infrastructure (PKI): Eine noch robustere Lösung ist die Verwendung eines PKI-Systems zur Validierung und Verschlüsselung des gesamten Datenverkehrs zwischen dem Client (Engineering-Workstation) und dem Server (SPS). Die gegenseitige Authentifizierung (TLS) soll das Risiko eines Hackerangriffs auf OT-Anlagen verringern. Allerdings ist PKI in ICS-Produktlinien oft noch nicht implementiert.

Überwachung des Netzwerkverkehrs: Der neue Angriffsvektor beinhaltet die Durchführung von Download- und Upload-Prozeduren zu/von einer SPS. Daher ist es wichtig, den OT-Netzwerkverkehr zu überwachen und insbesondere diese Arten von Ereignissen zu erkennen. Wenn ein solcher Vorgang in einer unerwarteten Situation auftritt, könnte dies auf einen Angriffsversuch hindeuten, so die Claroty-Spezialisten.

Auf dem neuesten Stand bleiben: Da sowohl Angreifer als auch Sicherheitsverantwortliche diesen neuen Angriffsvektor weiter erforschen, werden weitere Schwachstellen entdeckt werden. OT-Anbieter werden auch zukünftig entsprechende Patches erstellen. Deshalb ist es wichtig, die OT-Software immer auf dem neuesten Stand zu halten, um sich vor diesen kurzfristigen Schwachstellen zu schützen, so die Forscher.


Das könnte Sie auch interessieren:

Mit Dimitrios Koutrouvis hat Lütze Transportation ab Oktober einen neuen Geschäftsführer. Er tritt die Nachfolge von André Kengerter an.‣ weiterlesen

Der Bitkom schätzt die Schäden durch Cyberangriffe auf jährlich 220Mrd.€. Unternehmen sind also gefragt, sich bestmöglich gegen solche Vorfälle zu schützen. Wie? Darüber können sich Interessierte vom 25. bis zum 27. Oktober auf der Security-Messe It-sa informieren.‣ weiterlesen

Low Code-Entwicklungsplattformen helfen Unternehmen, ihre IT an stetig wechselnde Strukturen und Prozesse anzupassen. Es gilt: Wo programmiert wird, kann meist Low Code-Technologie eingesetzt werden – erst recht im IIoT-Projekt.‣ weiterlesen

Planung und Überwachung sind entscheidende Faktoren für die Effzienz einer Produktion. Die Basis dafür bilden Daten. Daher setzt die Firma GGK in ihrer Fertigung auf die IIoT-Plattform Toii. Mit ihr erfasst der Hersteller von Kabelmanagement-Systemen alle relevanten Daten, um die Transparenz zu verbessern und etwa Störungen schneller zu beseitigen.‣ weiterlesen

Korrekte Stammdaten sind beim Wechsel auf SAP S/4Hana enorm wichtig. Drei Tools für das Product Structure Management helfen, die Engineering-Stückliste mit der Manufacturing-Stückliste automatisiert abzugleichen.‣ weiterlesen

Eine industrielle IoT-Plattform unterstützt dabei, auf digitaler Basis Transparenz zu erzielen, Prozesse zu optimieren und Fehler zu vermeiden. Dafür werden Menschen, Produktions-IT-Systeme und Maschinen miteinander verknüpft. Doch wie funktioniert das?‣ weiterlesen

Mit einem Plus von 0,7 Prozent im Vergleich zum Juni liegt der Auftragsbestand im verarbeitenden Gewerbe im Juli auf einem neuen Höchstwert. Die Reichweite der Aufträge bleibt unverändert bei 8 Monaten.‣ weiterlesen

Digitalisierung und Klimaschutz lassen den Bedarf an Beschäftigten in Ingenieur- und Informatikerberufen steigen. Der neue VDI-/IW-Ingenieurmonitor zeigt weiter eine angespannte Lage – doch es gibt auch positive Trends.‣ weiterlesen

Die Pandemie hat dazu geführt, dass mehr Menschen von zu Hause aus gearbeitet haben. Und viele der Beschäftigten wollen diese Möglichkeit auch weiterhin nutzen, wie eine Ifo-Studie zeigt.‣ weiterlesen

Unternehmen wollen und müssen etwas zum Klimaschutz beitragen, im eigenen Unternehmen oder mit innovativen Produkten oder Dienstleistungen. Beides kann erhebliche Investitionen erfordern - die sich durch zahlreiche Förderprogramme abfedern lassen. Energieberater Jörg Lieske vom BFE Institut für Energie und Umwelt hat sich auf diese Fördermittel spezialisiert und nennt die wichtigsten.‣ weiterlesen