Aktuelles


Projekt „Honeytrain“: Hacker@work
11. September 2015

Sophos-Whitepaper zum Projekt „Honeytrain enthüllt das Vorgehen der Hacker beim Zugriff auf kritische Infrastrukturen – Registriert wurden 2,7 Millionen Zugriffsversuche, einige davon mit Erfolg – Auch das Steuerungssystem war betroffen

Wiesbaden, 09.09.2015 – In seiner Hacker-Falle „Honeytrain“ hat die Firma Sophos untersucht, wie industrielle Steuerungssysteme durch Eindringlinge identifiziert und angegriffen werden. Insgesamt registrierte Sophos 2,7 Millionen Zugriffsversuche aus aller Welt über einen Zeitraum von sechs Wochen auf ein simuliertes industrielles Steuerungssystem.

Honeytrain – der perfekte Hacker-Bluff
Beim Projekt Honeytrain handelte sich um eine originalgetreue Simulation eines U-Bahn Steuerungssystems, das mit echten Industrie-Steuerungssystemen arbeitet und originale Hard- und Software-Komponenten aus der Automatisierungs- und Leittechnik einsetzt. Videos von Überwachungskameras echter Bahnhöfe und Zugführerkabinen sorgten für die nötige optische Täuschung. Die Simulation war so perfekt, dass Angreifer den Eindruck hatten, in ein real existierendes System einzudringen.

Ziel des Projekts war es, eine kontinuierliche Angriffsanalyse und -bewertung vorzunehmen um ein möglichst umfassendes Bild über die Qualität, Quantität und Aggressivität der Angreifer zu erhalten. Spannend war vor allem die Frage, wie weit Hacker gehen. Begnügen sie sich mit dem bloßen Eindringen in die IT-Systeme? Nehmen sie Sachschäden oder gar Menschenleben in Kauf?

Angriffe zielten auf Firewall, Zugsteuerung und Überwachungskameras
34 Prozent der versuchten Attacken zielten auf die Firewall des Systems. Als ebenfalls beliebt bei den Hackern erwies sich der Mediaserver. Er verarbeitet die Streams der Überwachungskameras und bietet diese über eine Webschnittstelle an. Ihn zu hacken war in 27 Prozent der Angriffsversuche das Ziel. Die Nachbauten von Steuerungssystemen, Protokollen und HMIs (Human-Machine-Interfaces, Benutzerschnittstellen) wurden in 23 Prozent der Fälle angegangen. Sieben Prozent der Angriffe entfielen auf das Infoportal, das die Webseite eines Verkehrsverbundes originalgetrau nachstellt.

Lästiger Unfug über den Mediaserver
Einige der erfolgreichen Zugriffe erfolgten über den Mediaserver. Hier nutzen die Angreifer eine Wörterbuchattacke. Mit dieser versuchen die Angreifer, einen unbekannten Benutzer oder ein unbekanntes Passwort anhand einer umfangreichen Wörterliste zu ermitteln. Ein konkretes Ziel gab es offenbar nicht. Der Angriff auf den Mediaserver zeigt ein eher spielerisches Vorgehen. Die Hacker verfügten offenbar über kein tieferes Know-how, sahen sich neugierig im System um und verschwanden wieder. In einem der Fälle nutzten die Angreifer die Möglichkeit, um die ursprünglichen Inhalte des Webangebots kreativ umzugestalten. Die Gäste beschränkten sich jedoch darauf, das Kamerabild eines U-Bahnhofs auszutauschen gegen ein eigenes Statement, dass die Nutzung von Webcams in der Öffentlichkeit kritisiert.

Zugriff auf die Zugsteuerung
Weit gefährlicher hätte einer der erfolgreichen Angriffe auf die Zugsteuerung (HMI, Human Machine Interface) werden können. Während der Dauer des Projekts konnten vier erfolgreiche Logins auf diesen Teil des Systems festgestellt werden. Zwei erfolgten über Wörterbuchattacken.

In einem Fall gelang es den Angreifern, ein starkes Passwort zu überwinden. Anders als die ungebetenen Gäste auf dem Mediaserver verfügte diese Gruppe über eine sehr genaue Kenntnis industrieller Leitsysteme und wusste genau, in was für ein System sie eingedrungen waren. Die Hacker lasen Sicherheitseinstellungen der industriellen Komponenten über ein zentrales Tool aus und exportierten diese. In der Folge griffen die Eindringlinge auch auf die Visualisierung zu und aktivierten die Frontbeleuchtung eines Zuges. Auch schlimmeres wäre an dieser Stelle möglich gewesen.

Die meisten Angriffe aus China und den USA
Was die Herkunft der Zugriffsversuche angeht, so konnten China und die USA als führende Länder identifiziert werden, gefolgt von Frankreich, Polen und Moldawien. Deutschsprachige Länder sind kaum vertreten: nur ein Prozent der Angriffe (insgesamt 26.512) wurden aus Deutschland unternommen. Weit unter einem Prozent blieben Österreich und die Schweiz mit jeweils 166 und 243 Angriffen.

Chester Wisniewski, Sicherheitsberater bei Sophos, mahnt Unternehmen zu mehr Sorgfalt: „Schon einfache Maßnahmen können dabei helfen, kritische Infrastrukturen sicherer zu machen. Diese reichen von einem sicheren Passwort, das in einer Vielzahl der Fälle nicht genutzt wurde, bis hin zu Überlegungen dazu, welcher Teil des Systems überhaupt eine Anbindung an das öffentliche Netzwerk benötigt. Abgesicherte Systemzonen und eine SSL-Verschlüsselung hätten den die Schwierigkeiten für die Angreifer um ein Vielfaches erhöht.“

Sach- und Personenschäden blieben während der Dauer des Projektes aus. Das war beim Auftakt auf der CeBIT noch anders. Damals schepperte es am zweiten Tag am Sophos-Messestand kräftig. Im Live-Versuchsaufbau ließen Hacker einen Zug entgleisen.

Über Sophos
Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Sophos‘ Complete-Security- Lösungen als den besten Schutz vor komplexen IT-Bedrohungen und Datenverlust. Sophos bietet dafür preisgekrönte Verschlüsselungs-, Endpoint-Security-, Web-, Email-, Mobile- und Network Security-Lösungen an, die einfach zu verwalten, zu installieren und einzusetzen sind. Das Angebot wird von einem weltweiten Netzwerk eigener Analysezentren, den SophosLabs, unterstützt. Sophos hat seinen Hauptsitz in Boston, USA, und Oxford, Großbritannien. In Deutschland hat das Unternehmen seinen Hauptsitz in Wiesbaden und ist in Österreich und der Schweiz je an einem Standort vertreten. Weitere Informationen unter www.sophos.de.

Das komplette White Paper zum Projekt Honeytrain steht ab nächster Woche hier zum Download bereit. Wenn Sie benachrichtigt werden wollen, sobald das Dokument zur Verfügung steht, bitte hier registrieren.

 


Mai-Update: Knapp 100.000 Zugriffsversuche innerhalb einer Woche
29. Mai 2015

Vor einigen Wochen fiel auf der CeBIT der Startschuss für das Projekt Honeytrain – eine Hacker-Falle der besonders ausgeklügelten Art. Inzwischen gibt es erste Auswertungsergebnisse. Für den Zeitraum vom 11. bis zum 17.Mai 2015 wurden beispielsweise insgesamt 96.719 Zugriffsversuche registriert. Was die Herkunft der Zugriffsversuche angeht, so konnten China und die USA als führende Länder identifiziert werden, gefolgt von Taiwan, der Türkei und Russland auf Platz 5.

Deutschsprachige Länder sind nur schwach vertreten. So stammten etwa aus Deutschland, rangierend auf Platz 11, und der Schweiz, Platz 13 im Gesamtklassement, zusammen nur 4% der aufgezeichneten Zugriffsversuche. Noch harmloser zeigte sich Österreich. Von dort aus wurden im genannten Zeitraum nur etwa 0,5% aller Zugriffsversuche gestartet.

20 Prozent der versuchten Attacken zielten auf die Firewall des Systems. Ebenfalls 20 Prozent der Zugriffsversuche entfielen auf die Simulation der Zugsteuerung. Beinahe als ebenso „beliebt“ bei den Hackern erwies sich der Mediaserver. Er realisiert die Streams der Überwachungskameras und bietet diese über eine Webschnittstelle an. Ihn zu hacken war in 19 Prozent der Angriffsversuche das Ziel. 18 Prozent der Angriffe entfielen auf das Infoportal, das die Webseite eines Verkehrsverbundes originalgetrau nachstellt. Die Nachbauten von Steuerungssystemen, Protokollen und HMIs (Human-Machine-Interfaces) wurden in 17 Prozent der Fälle angegangen. Etwas weniger Hacker-frequentiert zeigte sich die Simulation der Signalsteuerung, hier wurde nur zu 9 Prozent ein Angriffsversuch gestartet. Im beobachteten Zeitraum blieben die Angriffe also zunächst harmlos weil erfolglos. Das war beim Auftakt auf der CeBIT noch anders. Damals schepperte es am zweiten Tag am Sophos-Messestand kräftig. Im Live-Versuchsaufbau entgleiste ein Zug..

Grafik

 


Erste schwere Attacke gegen den HoneyTrain
19. März 2015

Am Mittwochmorgen fand die erste folgenschwere Attacke im Rahmen des HoneyTrain-Projekts statt. Kurz nach Start des dritten CeBIT-Tages stellte ein Eindringling die Weiche auf ein Abstellgleis um und ließ eine standardmäßig verkehrende S-Bahn auf einen dort abgestellten Wagen auffahren. In der Folge entgleiste die Modellbahn und schob auch den Wagen auf dem Abstellgleis von der Strecke. Die Anzahl der Attacken nimmt weiterhin zu und zeigt eindrucksvoll, wie effektiv die Scans der Cyberkriminellen das Netz nach potentiellen Schwachstellen durchforsten können. "Überraschend ist für uns definitiv die hohe Anzahl der Scans, die auf das System niederprasseln. Damit hätten wir nicht gerechnet. Auch die Zahl der ernstzunehmenden Angriffe ist hoch und wir sind gespannt, was in den nächsten Wochen weiter passiert", so die HoneyTrain-Macher.


Umfangreiche Angriffswelle auf die virtuelle Welt
19. März 2015

Bereits am ersten Tag, nachdem das Project HoneyTrain auf der CeBIT live gegangen ist, liefen die Leitungen in das System heiß. Innerhalb von 24 Stunden konnten rund 19.000 Angriffe bzw. Scans auf das Betriebssystem aus allen Teilen der Welt gemessen werden. Je nach dem, welche der 12 eingebauten Sicherheitslücken in den ICS-System geknackt wurden, konnten die aktiven Hacker Einfluss auf den Zug nehmen und nutzten diese Gelegenheit in regelmäßigen Abständen. Bei einem Angriff wurde zum Beispiel der eine Zug gestoppt und ein weiterer gestartet, welches ohne das Eingreifen des Teams zu einem Crash geführt hätte. Ein weiterer Angriff auf das Betriebssystem war erfolgreich und erforderte einen Neustart.

Grafik
Grafik