Industrial Ethernet Journal, II/2012: Post

Security: Lagebericht zur Cyber-Sicherheit
Bild 1: Digitale Bedrohung: Spätestens mit
Stuxnet wurde sie auch für die Industrie
vom theoretischen Risiko zur praktischen
Realität.
Post-Stuxnet Industrial Security:
Lagebericht zur Cyber-Sicherheit
Die Entdeckung des Wurms Stuxnet
im Juni 2010 war ein Weckruf, der
weltweit neben den staatlichen Institutionen mit Verantwortung für kritische Infrastrukturen vor allem die
Betreiber industrieller Anlagen und
die Hersteller von Automatisierungstechnik gleichermaßen wachgerüttelt und ihre Sensibilisierung für das
Thema Industrial Security schlagartig
erhöht hat. Wir werfen einen Blick
zurück auf die seitherige Entwicklung. Haben sich die Prognosen von
damals bewahrheitet? Wie ist die
Lage und wie stellt man sich angemessen darauf ein?
S
tuxnet war ein Meilenstein, der die
Welt und die Wahrnehmung kriegerischer und krimineller Aktivitäten im
Cyberspace verändert hat. Das auf Produkte der Siemens-Simatic-Familie und
Step-7-SPS-Projekte mit speziellen Eigenschaften fokussierte Schadprogramm war
der erste öffentlich dokumentierte gezielte
Rootkit-Angriff auf industrielle Anlagen. Es
entfaltete seine Schadwirkung in vier Stufen auf verschiedenen Ebenen (Bild 2). Anstelle eines direkten Angriffsversuchs auf
Steuerungen hatten die Urheber von Stuxnet die allgegenwärtigen Windows-PCs als
26
Industrial Ethernet Journal II/2012
schwächstes Glied in der Kette und prädestiniertes erstes Einfallstor ausgemacht.
So nutzte die Malware einen aggressiven
Mix von Mechanismen und gleich vier vormals unbekannte in mehreren Generationen von Windows vorhandene Schwachstellen, um sich über Netzwerke und USBMedien sowohl auf vernetzten als auch
nicht vernetzten PCs zu verbreiten und
diese zu infizieren. Dabei eingeschleppte
Treiber waren mit geraubten privaten digitalen Schlüsseln signiert und erregten auf
den Systemen durch diese als vertrauenswürdig eingestuften Zertifikate keinen Verdacht. Im zweiten Schritt suchte Stuxnet
auf infizierten PCs nach geeigneten Installationen von Engineering oder Visualisierungs-Software und manipulierte die darin
vorgefundenen Datenbanken und Projekte,
um seine weitere Verbreitung und Persistenz auf dem PC zu sichern sowie Steuerungen als potentielle Ziele für Stufe 3 auszuspähen. Ferner manipulierte er eine zentrale, für die Kommunikation zwischen Simatic-Manager und projektierten S7-Steuerungen zuständige Software-Bibliothek, um
seine Machenschaften vor deren Anwendern trickreich zu verbergen. Erst nach die-
Bild 2: Wirkung von Stuxnet in 4 Stufen
Security: Lagebericht zur Cyber-Sicherheit
sen Vorbereitungen und gezielt nur in Projekte mit ganz spezifischen Eigenschaften
schleuste Stuxnet dann in Stufe 3 seinen
eigentlichen und ausgesprochen raffinierten Schadcode in die Steuerungen ein, mit
dem Ziel der Störung von Prozessen und
letztlich der Zerstörung der betroffenen
Anlagen. Über seine vierte und letzte Wirkstufe versuchte Stuxnet von infizierten PCs
aus, Kontakt zu mehreren Command&
Control-Servern im Internet aufzunehmen,
um ausgespähte Informationen abzuliefern, Updates zu empfangen und neue
Instruktionen auszuführen. Dies verlieh
dem Spionage- und Sabotage-Potential
des Wurms eine zusätzliche Dynamik.
Durch seine Verbreitungsmechanismen
konnten diese Effekte mittelbar auch auf
Systeme ausstrahlen, die selbst über keine
Netzwerk- oder gar Internet-Verbindung
verfügen.
Analysen, Prognosen und
Gegenwart
Viele zwischenzeitlich bekannte Indizien
sprechen für die Vermutung, dass Stuxnet
das iranische Nuklearprogramm treffen
sollte und insbesondere eine dortige Anlage zur Urananreicherung auch erfolgreich getroffen hat. Ob die bis heute unbekannten Autoren des Wurms gezielt
nur diesen oder (auch) andere Zwecke
verfolgt haben, ist allerdings nicht erwiesen. Besorgnis erregte indes vor allem
dies: Das Angriffsmuster und seine Basistechniken sind absolut generisch und in
der Lage, letztlich beliebigen Schadcode in
eine Vielzahl von gängigen Steuerungsmodellen – prinzipiell auch anderer Hersteller – einzubringen. Praktisch alle Industrial-Security-Experten hielten und halten daher eine Proliferation Stuxnet-artiger Cyberwaffen und Attacken durch
Nachahmer mit Mutationen der Malware
auf vielfältige andere Ziele für sehr wahrscheinlich. Die einzig gute Nachricht:
Diese Welle erwarteter Angriffe ist bislang
ausgeblieben. In bisher nur einem einzigen weiteren Fall wurde im September
2011 neue Schadsoftware entdeckt, die
mit den Mechanismen und dem Programmcode von Stuxnet verwandt zu sein
scheint: der Trojaner ‘Duqu’, so benannt
nach dem Namens-Präfix ‘~DQ’ der von
ihm generierten Dateien.
Duqu & das Tilded Framework
Analysen an der Universität Budapest und
in den Laboren von Symantec und F-Secure ergaben eine große Ähnlichkeit im
Code von Stuxnet und Duqu. Allerdings
enthält Duqu keinerlei Schadcode mit direktem Bezug zu industriellen Steuerungssystemen. Er scheint einem ganz anderen Zweck, nämlich der Spionage zu
dienen, dies aber möglicherweise zur Vorbereitung eines weiteren Stuxnet-artigen
Angriffs. Duqu verbreitet sich anders als
Stuxnet auch nicht aktiv selbst, sondern
wurde offenbar sehr gezielt, insbesondere
durch E-Mail-Anhänge mit infizierten Office-Dokumenten, in eine beschränkte Anzahl von Organisationen eingeschleust.
Wiederum wurde dabei eine noch unveröffentlichte Schwachstelle im Kernel von
Windows als Einfallstor genutzt und ein
mit gestohlenem Schlüssel signierter Treiber verwendet. Der Trojaner suchte Kontakt zu Command&Control-Servern in
mehreren Ländern. Er konnte über diese
wohl auch instruiert werden, sich über lokale Netzlaufwerke auf weitere Systeme
zu verbreiten, die dann peer-to-peer den
ursprünglichen Infektionsherd wie einen
Proxy als Rückkanal nutzen. Infektionen
mit Duqu wurden in mindestens acht Ländern, u.a. bei Herstellern und Betreibern
von industriellen Steuerungssystemen entdeckt. Die dabei gefundenen Varianten
wurden auf eine Entstehungszeit zwischen November 2010 und Oktober 2011
datiert. Symantec kam zu dem Schluss,
dass die Autoren von Duqu dieselben
waren wie die von Stuxnet oder jedenfalls
Zugang zum selben Quellcode gehabt
haben müssen. Aktuelle Analysen des
Kaspersky Lab sprechen für einen noch
umfassenderen Zusammenhang zwischen
den beiden Schädlingen. Danach entspringen beide mit ziemlicher Sicherheit
der gleichen als Baukasten genutzten
Code-Basis. Aufgrund der Vorliebe ihrer
unbekannten Schöpfer für Dateinamen,
die mit ‘~d’ beginnen, taufte Kaspersky
dieses Framework auf den Namen ‘Tilded’. Es soll neben Stuxnet und Duqu
Grundlage von mindestens drei weiteren
identifizierten Schadprogrammen sein.
Seine Entwicklungsgeschichte (Bild 3)
reicht vermutlich bis Ende 2007 zurück
und hält mit einer Phase besonders signi-
fikanten Fortschritts im zweiten Halbjahr
2010 bis heute an, was weitere Abkömmlinge erwarten lässt.
‘Malware-for-Dummies’Baukästen
Exploits, wie die von Stuxnet und Duqu
verwendeten, sind Programme oder modulare Programmteile, die eine Sicherheitslücke ausnutzen und so einen Angriff ermöglichen. Schon früh wurde von StuxnetExperten wie Ralph Langner auf die absehbare Gefahr hingewiesen, dass solche Exploits in für jedermann per Internet zugänglichen Malware-Baukästen bereitgestellt werden würden, sodass auch Personen ohne umfangreiches Insider-Wissen
diese für Angriffe nutzen können. Tatsächlich gibt es für mindestens drei der von
Bild 3: Die von Kaspersky Lab entdeckte Evolutionsgeschichte der Treiber aus dem Tilded Framework belegt die Verwandtschaft von Stuxnet
und Duqu. (Bild: Kaspersky Lab)
Industrial Ethernet Journal II/2012
27
Security: Lagebericht zur Cyber-Sicherheit
Stuxnet genutzten Windows-Schwachstellen bereits sogenannte Exploit-Module im
offenen Metasploit Framework (www.metasploit.com), das zwar als Baukasten für
legitime Penetrationstests gedacht ist, aber
natürlich auch zu weniger wohlwollenden
Zwecken missbraucht werden kann. Auch
das kommerzielle Penetration Testing Framework Canvas der Firma Immunity enthält solche Exploit-Module. Darüber hinaus
wird sogar ein spezielles Scada+ Paket mit
Exploits für öffentlich bekannte Schwachstellen von Scada-Produkten dazu angeboten. Ein trauriger Höhepunkt der bisherigen
Entwicklung sind kürzlich auf der Twitter
erschienene Angebote zum Kauf von
Scada-Exploits. Die aktuelle Situation erinnert damit an den bösen Witz vom Mann,
der vom Hochhaus springt und nach den
ersten 20 Stockwerken feststellt, bislang sei
ja noch alles gut gegangen. Jeder weiß,
wie schlecht die Extrapolation dieser Erfahrung funktioniert und noch ist Zeit, ein
Sprungtuch aufzuspannen.
Wirksame
Vorbeugungsmaßnahmen
Stuxnet hat deutlich gemacht, dass konventionelle Antivirus-Software auf ‘Blacklisting’-Basis gegen noch unbekannte Exploits keinen ausreichenden Schutz bietet.
Dennoch gibt es durchaus heute verfügbare und in bestehende Anlagen nachrüstbare Lösungen, um Schäden durch
Stuxnet-artige Angriffe vorzubeugen. Die
Schlüsselworte lauten Risikoreduktion, Eindämmung und Integritätssicherung. Zwar
lassen sich Infektionen mit Schadsoftware
nicht absolut zuverlässig ausschließen. Die
konsequente Blockierung nicht benötigter
Kommunikationsverbindungen im Netzwerk durch dezentral verteilte Firewalls
leistet aber einen großen Beitrag, das Risiko einer Infektion signifikant zu reduzieren sowie gegebenenfalls ihre weitere Ausbreitung einzudämmen und der Malware
keinen Rückkanal für Spionageaktivitäten
zu bieten. Verfahren wie das mGuard Inte-
grity Monitoring von Innominate ermöglichen es darüber hinaus, selbst Infektionen
durch noch unbekannte Schadsoftware
zeitnah als unerwartete Manipulation zu
erkennen. Derartige ‘Whitelisting’-Methoden sollten insbesondere zum Schutz von
PCs eingesetzt werden, die als Engineering-, Bedien- oder Visualisierungssysteme
mit Steuerungen kommunizieren dürfen.
Werden dann noch Komponenten wie die
mGuard User Firewall zum Schutz der
Steuerungen eingesetzt, lässt sich ein authentisiertes und autorisiertes Engineering
umsetzen, das Stuxnet & Co. den Weg zur
unbefugten Manipulation der Projektie■
rung abschneidet.
www.innominate.com
Autor: Torsten Rössel, Director Business Development, Innominate Security
Technologies AG
Computer-Virus Flame:
IT-Experten entdecken komplexesten Angriff seit
Stuxnet und Duqu gegen Ziele im Mittleren Osten
I
T-Experten haben einen neuen Computervirus entdeckt, der bereits tausende
Computer infiziert haben soll. Nach Angaben der IT-Sicherheitsfirma Symantec
handelt es sich beim Schadcode ‘W32.Flamer’ um einen hochkomplexen und diskret
agierenden Schadcode, der an die Qualität
von Stuxnet und Duqu heranreicht. Ersten
Ergebnissen zufolge sei der Schadcode so
konstruiert worden, um Informationen von
infizierten Systemen zu stehlen. Die Opfersysteme befänden sich hauptsächlich im
Mittleren Osten. Wie seine beiden Vorgänger würde der Code nicht von Einzelpersonen, sondern von einer gut organisierten
und finanzierten Gruppe unter klaren Vorgaben entwickelt worden sein, berichtet
Symantec. W32.Flamer sei sehr diskret
über den Zeitraum der vergangenen zwei
Jahre oder noch länger eingesetzt worden
und in der Lage, Dokumente zu stehlen,
28
Industrial Ethernet Journal II/2012
Screenshots der infizierten Desktops zu
schießen, sich über USB-Laufwerke zu verbreiten, Sicherheitsprodukte abzuschalten
und sich unter bestimmten Bedingungen
auf weitere Systeme zu kopieren. Die Malware ist möglicherweise auch dazu fähig,
über mehrere bekannte Schwächen von
Windows, für die allerdings bereits Patches
geschrieben wurden, über das Netzwerk
andere Systeme zu infizieren.
Angriffe nehmen weiter zu
Die ersten Telemetriedaten zeigen, dass
sich die primären Ziele des Schadcodes in
der West Bank in Palästina, Ungarn, dem
Iran und dem Libanon befinden. Zu den
anderen Zielen gehören Russland, Österreich, Hong Kong und die Vereinigten
Arabischen Emirate, so Symantec. Zu Industriesektoren oder den Hintergründen
individueller Zielpersonen lasse sich aktuell noch nichts Konkretes sagen. Allerdings deuten die ersten Analysen darauf
hin, dass nur wenige Opfer aus denselben
Gründen attackiert wurden. Die Attacken
hätten sich mehr auf das Privatleben der
Opfer statt auf ihre Arbeit oder ihre Rolle
als Angestellter in einer bestimmten Organisation konzentriert. Die meisten infizierten Systeme scheinen private Rechner
zu sein, die von zu Hause aus mit dem Internet verbunden waren. Die Sicherheitsexperten von Symantec erwarten, dass
Frequenz und Niveau dieser fortschrittlichen Angriffe in diesem Jahr weiter zunehmen werden. Das Unternehmen will in
Kürze eine ausführliche technische Ana(ahn) ■
lyse veröffentlichen.
www.symantec.com