Die US-Regierung hat am Mittwoch davor gewarnt, dass nationalstaatliche Akteure spezielle Schadsoftware einsetzen, um sich Zugang zu industriellen Kontrollsystemen (ICS) und SCADA-Geräten (Supervisory Control and Data Acquisition) zu verschaffen.
„Die APT-Akteure haben maßgeschneiderte Tools entwickelt, um ICS/SCADA-Geräte ins Visier zu nehmen“, so mehrere US-Behörden in einer Warnung. „Diese Tools ermöglichen es ihnen, die betroffenen Geräte zu scannen, zu kompromittieren und zu kontrollieren, sobald sie einen ersten Zugang zum OT-Netzwerk (Operational Technology) erhalten haben.
Die gemeinsame Empfehlung kommt vom US-Energieministerium (DoE), der Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI).
Die speziell angefertigten Tools wurden entwickelt, um speicherprogrammierbare Steuerungen (SPS) von Schneider Electric, OMRON Sysmac NEX SPS und Open Platform Communications Unified Architecture (OPC UA) Server auszuspähen.
Darüber hinaus sollen die ungenannten Täter in der Lage sein, Windows-basierte technische Workstations in IT- und OT-Netzwerken zu infiltrieren, indem sie eine Sicherheitslücke ausnutzen, die einen von ASRock signierten Motherboard-Treiber mit bekannten Schwachstellen (CVE-2020-15368) ausnutzt.
Die Behörden erklärten, dass sie den Zugang zu ICS-Systemen nutzen wollen, um ihre Berechtigungen zu erhöhen, sich seitlich in den Netzwerken zu bewegen und geschäftskritische Funktionen in Flüssigerdgas- (LNG) und Stromumgebungen zu sabotieren.
Das Cybersicherheitsunternehmen Dragos, das die Malware unter dem Namen „PIPEDREAM“ seit Anfang 2022 verfolgt, beschreibt sie als „modulares ICS-Angriffssystem, das ein Angreifer nutzen kann, um je nach Ziel und Umgebung Störungen, Beeinträchtigungen und möglicherweise sogar Zerstörungen zu verursachen“.
Der CEO von Dragos, Robert M. Lee, schrieb die Malware einem staatlichen Akteur namens CHERNOVITE zu und schätzte mit großer Zuversicht ein, dass das zerstörerische Toolkit bisher noch nicht in realen Angriffen eingesetzt wurde, so dass es möglicherweise das erste Mal ist, dass „eine industrielle Cyberfähigkeit gefunden wurde, bevor sie für die beabsichtigten Effekte eingesetzt wurde.
PIPEDREAM verfügt über eine Reihe von fünf Komponenten, um seine Ziele zu erreichen. Sie ermöglichen es, Aufklärungsarbeit zu leisten, Zielgeräte zu kapern, die Ausführungslogik von Steuerungen zu manipulieren und PLCs zu stören, was effektiv zum „Verlust der Sicherheit, Verfügbarkeit und Kontrolle einer industriellen Umgebung“ führt.
Die vielseitige Malware nutzt auch CODESYS, eine Entwicklungsumgebung eines Drittanbieters für die Programmierung von Steuerungsanwendungen, in der allein im letzten Jahr 17 verschiedene Sicherheitslücken entdeckt wurden.
„Die Fähigkeit, Sicherheitssteuerungen und andere Steuerungen für die Maschinenautomatisierung umzuprogrammieren und möglicherweise zu deaktivieren, könnte dann genutzt werden, um das Notabschaltsystem zu deaktivieren und anschließend die Betriebsumgebung so zu manipulieren, dass unsichere Bedingungen entstehen“, warnte Dragos.
Zeitgleich mit der Veröffentlichung wurde ein weiterer Bericht des Bedrohungsforschungsunternehmens Mandiant veröffentlicht, in dem eine Reihe neuartiger, auf industrielle Kontrollsysteme (ICS) ausgerichteter Angriffstools aufgedeckt wurden, die auf Maschinenautomatisierungsgeräte von Schneider Electric und Omron abzielen.
Die staatlich gesponserte Malware mit dem Namen INCONTROLLER wurde entwickelt, um über industrielle Netzwerkprotokolle wie OPC UA, Modbus und CODESYS mit bestimmten industriellen Geräten zu interagieren, die in verschiedenen Maschinentypen in unterschiedlichen Branchen eingesetzt werden.
Allerdings ist noch unklar, wie die Regierungsbehörden sowie Dragos und Mandiant die Malware gefunden haben. Die Erkenntnisse kommen einen Tag, nachdem das slowakische Cybersicherheitsunternehmen ESET letzte Woche den Einsatz einer aktualisierten Version der Industroyer-Malware bei einem gescheiterten Cyberangriff auf einen ungenannten Energieversorger in der Ukraine beschrieben hat.
„INCONTROLLER [alias PIPEDREAM] stellt eine außergewöhnlich seltene und gefährliche Cyberangriffsmöglichkeit dar“, sagte Mandiant. „Er ist vergleichbar mit Triton, das 2017 versuchte, ein industrielles Sicherheitssystem auszuschalten, mit Industroyer, das 2016 einen Stromausfall in der Ukraine verursachte, und mit Stuxnet, das um 2010 das iranische Atomprogramm sabotierte.
Um potenzielle Bedrohungen zu entschärfen und ICS- und SCADA-Geräte zu schützen, empfehlen die Behörden den Unternehmen, für den Fernzugriff eine Multi-Faktor-Authentifizierung einzuführen, Passwörter regelmäßig zu ändern und ständig nach bösartigen Indikatoren und Verhaltensweisen Ausschau zu halten.