Ein Hacktivisten-Kollektiv namens GhostSec hat behauptet, 55 speicherprogrammierbare Steuerungen (SPS) von Berghof kompromittiert zu haben, die von israelischen Organisationen im Rahmen einer „Free Palestine“-Kampagne eingesetzt werden.
Das Cybersicherheitsunternehmen OTORIO, das den Vorfall genauer untersuchte, erklärte, dass der Einbruch dadurch möglich war, dass die SPS über das Internet zugänglich und durch trivial zu erratende Anmeldedaten gesichert waren.
Die Details der Kompromittierung wurden erstmals am 4. September bekannt, als GhostSec auf seinem Telegram-Kanal ein Video veröffentlichte, in dem ein erfolgreicher Login in das SPS-Administrationspanel gezeigt wurde und Daten aus den gehackten Steuerungen entwendet wurden.
Das israelische Unternehmen gab an, dass die Systemauszüge und Screenshots direkt aus dem Admin-Panel exportiert wurden, nachdem sich Unbefugte über die öffentlichen IP-Adressen Zugang zu den Controllern verschafft hatten.
GhostSec (auch bekannt als Ghost Security) wurde erstmals 2015 identifiziert und ist eine selbsternannte Bürgerwehr, die ursprünglich gegründet wurde, um ISIS-Websites ins Visier zu nehmen, die islamischen Extremismus predigen.
Anfang Februar dieses Jahres unterstützte die Gruppe die Ukraine unmittelbar nach der russischen Militärinvasion in dem Land. Seit Ende Juni beteiligt sie sich auch an einer Kampagne, die sich gegen israelische Organisationen und Unternehmen richtet.
„Die Gruppe wendete sich von ihren regulären Operationen ab und begann, mehrere israelische Unternehmen ins Visier zu nehmen, wobei sie sich vermutlich Zugang zu verschiedenen IoT-Schnittstellen und ICS/SCADA-Systemen verschaffte, was zu möglichen Störungen führte“, schrieb Cyberint am 14. Juli.
Die Angriffe gegen israelische Ziele mit dem Namen „#OpIsrael“ sollen am 28. Juni 2022 begonnen haben, unter Berufung auf „kontinuierliche Angriffe von Israel auf Palästinenser“.
In der Zwischenzeit hat GhostSec eine Reihe von Angriffen durchgeführt, unter anderem auf die Internetschnittstellen von Bezeq International und einen ELNet-Stromzähler im Scientific Industries Center (Matam).
So gesehen ist der Angriff auf die SPS von Berghof Teil einer breiteren Verlagerung der Angriffe auf die SCADA/ICS-Domäne. Allerdings scheint es sich um einen Fall zu handeln, bei dem die Gruppe „leicht zu übersehende Fehlkonfigurationen von Industriesystemen“ ausgenutzt hat, um die Angriffe auszuführen.
„Trotz der geringen Auswirkungen dieses Vorfalls ist dies ein großartiges Beispiel dafür, dass ein Cyberangriff durch eine einfache, korrekte Konfiguration leicht hätte vermieden werden können“, so die Forscher.
„Wenn man die öffentliche Zugänglichkeit von Anlagen zum Internet unterbindet und eine gute Passwortpolitik betreibt, insbesondere die Standard-Anmeldedaten ändert, hätte der Angriffsversuch der Hacktivisten scheitern können.“
GhostSec hat in der Zwischenzeit weitere Screenshots veröffentlicht und behauptet, Zugang zu einem weiteren Bedienfeld erhalten zu haben, mit dem der Chlor- und pH-Wert im Wasser verändert werden kann.
„Ich hoffe, ihr könnt unsere Entscheidung verstehen, die pH-Werte nicht anzugreifen und das Risiko einzugehen, den Unschuldigen in #Israel zu schaden“, schrieb die Gruppe in einem Tweet vom Wochenende. Unser „Krieg“ war immer FÜR die Menschen, nicht gegen sie. #FreePalestine“